【IT168 专稿】不用杀毒软件，我们是否能够清除网络病毒呢？事实上，Windows 2000或Windows XP工作站系统中自带有一种Ntbackup命令，通过该命令并结合系统内置的“任务计划”功能，我们可以对病毒或木马的藏身之地——系统的system32文件夹，进行全面及时监控，以便准确发现和“剿杀”网络病毒。现在，本文就通过使用Ntbackup命令，来及时备份系统system32文件夹的方法，来手工寻找和“剿杀”隐藏在工作站系统中的网络病毒！

    巧用备份功能，创建脚本文件

    为了及时发现系统在开机或关机前后的状态变化，我们必须先用Windows 2000或Windows XP工作站系统中自带的“备份”功能，来创建合适的具有自动备份功能的脚本程序，以便让系统在开机或关机之前自动执行一次备份脚本程序，日后我们只要通过对比前后之间的备份文件，就能轻松找出隐藏在工作站系统中的病毒或木马文件。

    在创建备份脚本程序之前，我们需要先在工作站系统运行正常的前提下，对系统的状态数据和system32文件夹内容进行一次正常备份操作。在进行这项备份操作时，我们可以按照如下步骤来进行：

    首先依次单击“开始”/“程序”/“附件”/“系统工具”/“备份”命令，打开系统的备份或还原向导窗口，依次选中其中的“总是以向导模式启动”、“备份文件和设置”、“让我选择要备份的内容”等选项，进入到如图1所示的向导设置界面；

    在该设置界面左侧显示区域，选中保存系统状态信息的“System State”选项，再单击“下一步”按钮，在其后界面中将备份文件的名称设置为“E:\aaa.bkf”，同时将备份的类型设置为“正常”，最后单击“完成”按钮，这样一来工作站系统就能自动把系统状态信息备份到“E:\aaa.bkf”文件中了。按照相同的操作方法，我们再把system32文件夹中的内容备份到“E:\bbb.bkf”文件中。

    接着我们需要创建脚本程序，来让系统在每次关系时能够自动对system32文件夹中的内容进行一次每日备份操作和增量备份操作，以便及时记录和捕捉病毒或木马文件是否“溜”到system32文件夹中了。在创建这样的脚本程序时，我们可以先打开系统的记事本编辑程序，并在文件编辑窗口中输入如下代码：

@echo off
@ntbackup.exe backup X:\Windows\System32 /a /rs:no /r:no /v:no /hc:off /l:s /m daily /f "E:\bbb.bkf"

    其中“X”为Windows系统实际所在的磁盘分区符号，一般为“C”盘分区，在确认上面的代码输入无误后，依次单击文件编辑窗口中的“文件”/“保存”命令，在随后弹出的文件保存对话框中，将上面的代码保存成扩展名为bat的“F:\dailyback.bat”文件，执行该批处理文件时，工作站系统就会在关机的时刻自动对system32文件夹中的内容进行一次每日备份操作，并将备份的结果信息附加到“E:\bbb.bkf”文件中。

图1

    之后，重新创建一个文本文件，并在文件编辑窗口中输入如下命令代码：
@echo off
@ntbackup.exe backup X:\Windows\System32 /a /rs:no /r:no /v:no /hc:off /l:s /m Incremental /f "E:\bbb.bkf"
在确认上面的代码输入无误后，依次单击文件编辑窗口中的“文件”/“保存”命令，在随后弹出的文件保存对话框中，将上面的代码保存成扩展名为bat的“F:\increback.bat”文件，执行该批处理文件时，工作站系统就会在关机的时刻自动对system32文件夹中的内容进行一次增量备份操作，并将备份的结果信息附加到“E:\bbb.bkf”文件中。

    巧用组策略，自动执行脚本

    为了让系统每次关机时能够自动执行上面的两个批处理文件，我们可以巧妙地修改系统的关机组策略，让系统在关机的一刹那自动执行文件备份操作。下面就是修改系统关机策略，让系统自动执行脚本程序的具体步骤：

    首先依次单击“开始”/“运行”命令，从弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统的组策略编辑窗口；

    其次在该组策略编辑窗口的左侧显示区域，依次展开“计算机配置”、“Windows设置”、“脚本（启动/关机）”分支，在对应“脚本（启动/关机）”分支选项的右侧显示区域中，用鼠标双击“关机”项目，打开如图2所示的属性设置窗口；单击该设置窗口中的“添加”按钮，在弹出的文件选择对话框中，将前面创建好的两个批处理文件依次选中并导入进来，最后单击“确定”按钮，那样一来系统每次关机时就能够自动执行上面的两个批处理文件，从而实现对system32文件夹中的内容进行自动备份操作的目的了。

图2

    当然，需要提醒各位注意的是，一旦起用了系统关机策略后，系统日后在每次关闭系统时都会先进行文件备份操作，很明显这会影响系统的关闭速度；其实，如果我们希望快速关机的话，可以在关闭系统之前先打开系统的任务管理器窗口，然后按下键盘上的Ctrl功能键，同时单击“关机”按钮，那样一来系统在此次关机时会自动跳过脚本程序的运行操作。

    巧妙还原文件，揪出隐藏病毒

    倘若发现工作站系统突然运行不正常时，那么我们就能通过对比相应的系统备份文件，来快速准确地揪出隐藏在系统中的网络病毒或木马文件。

    在还原系统备份文件时，依次单击“开始”/“程序”/“附件”/“系统工具”/“备份”命令，打开系统的备份或还原向导窗口，依次选中其中的“总是以向导模式启动”、“还原文件和设置”选项，在其后弹出的设置界面中（如图3所示），单击“浏览”按钮，并从弹出的文件选择对话框中将“E:\bbb.bkf”文件选中并导入进来；

图3

    一旦文件还原操作成功后，我们再打开系统的资源管理器窗口，在该窗口中依次展开“X:\Windows\System32”文件夹，我们就能在其中的文件夹窗口中看到system32文件夹中有哪些文件属于新增加的文件了，如果这些新增加的文件名称中包含“system”、“kernel”之类与系统文件名相近的关键字时，我们只要将它们及时从系统中删除掉就能达到“剿杀”网络病毒的目的了。

    当然，也有一些病毒还会修改系统注册表以及其他设置选项，此时我们可以按照上面的办法对“E:\aaa.bkf”备份文件进行恢复，这样可以及时将系统状态信息恢复到以前的正常状态。