全面檢查 就是做掃描生成一個(gè)報(bào)告，檢查出各種內(nèi)核級(jí)別的HOOK。以方便網(wǎng)上求助什么的！以及下面的基本都能看明白！就不說(shuō)了！
這個(gè)就只介紹一下里面的設(shè)置系統(tǒng)監(jiān)控吧。

　　可以看到默認(rèn)勾選有禁寫(xiě)物理內(nèi)存，禁止系統(tǒng)調(diào)試，程序運(yùn)行控制，驅(qū)動(dòng)加載控制，進(jìn)程注入控制，權(quán)限改變控制，鉤子安裝控制！這幾項(xiàng)都是用于防護(hù)和防范一些驅(qū)動(dòng)級(jí)別或者內(nèi)核級(jí)別的木馬，進(jìn)行攔截或者保護(hù)的重要手段！
比如說(shuō)像其中的禁止驅(qū)動(dòng)加載，可以禁止驅(qū)動(dòng)程序的加載，主要用于預(yù)防內(nèi)核級(jí)別的木馬取得系統(tǒng)完全控制權(quán)的！
　　另外沒(méi)有勾選的 程序?qū)懭肟刂坪妥?cè)表寫(xiě)入控制，監(jiān)視文件改變這個(gè)多用于清除時(shí)勾選便于惡意程序的分析與查找！后面還很多！這個(gè)不一一介紹了！
不過(guò)其中值得一提的是暫時(shí)鎖定系統(tǒng)功能！它可以暫時(shí)禁止系統(tǒng)范圍內(nèi)的注冊(cè)寫(xiě)入、進(jìn)程創(chuàng)建、敏感類(lèi)型的文件創(chuàng)建，主要用于清除自我保護(hù)、刪除后回寫(xiě)的木馬。不過(guò)注意：鎖定系統(tǒng)后，將不能正常關(guān)機(jī)，如需要重啟且解除鎖定有可能導(dǎo)至木馬復(fù)活的，可以按機(jī)箱上的RESET鍵重啟系統(tǒng)。
好了！下面單擊托盤(pán)圖標(biāo)~ 狙劍的界面就會(huì)跳出來(lái)！首先我們看到的是精簡(jiǎn)模式，有以下幾個(gè)圖：
1，主動(dòng)防御，是不是看的眼熟呢？那就對(duì)了！也就是剛剛上面講的托盤(pán)菜單的系統(tǒng)監(jiān)控下的功能~！一模一樣！

2，常用功能，里面就是一些常見(jiàn)的修復(fù)，清理和優(yōu)化功能，也沒(méi)什么好講的！需要注意的是終極修復(fù)慎用！

3， 新消息。這個(gè)只要連接網(wǎng)絡(luò)后就能看到一些版本消息或者注意事件。

下面我們來(lái)看看它的專(zhuān)業(yè)模式，點(diǎn)擊常用功能中的 進(jìn)入專(zhuān)業(yè)模式 就可以進(jìn)入專(zhuān)業(yè)模式。

　　大家可以看到專(zhuān)業(yè)模式是這樣的！右邊第一次進(jìn)去是空白的！為了省事~我先截了左邊！
專(zhuān)業(yè)模式下面分為基本功能，擴(kuò)展功能和其他功能！分別如圖！

　　由于狙劍的功能太強(qiáng)大了！時(shí)間關(guān)系我不對(duì)它一一作介紹了！下面具體來(lái)說(shuō)幾個(gè)我覺(jué)得還是很不錯(cuò)的功能和用法吧！
　　一 進(jìn)程管理了！雖然很多工具都有這個(gè)功能！但是狙劍完全是由匯編編寫(xiě)！功能強(qiáng)大！
可顯示進(jìn)程信息：名稱(chēng)、PID、父進(jìn)程、參數(shù)，不一一解釋?zhuān)恢v怎么用吧！
使用起來(lái)可以參考下圖

比如我對(duì)我那QQ的進(jìn)程點(diǎn)一下查找模塊，可以出來(lái)下圖

　　小結(jié)：在我們熟悉一些正常的進(jìn)程和模塊和一些不正常的進(jìn)程和模塊的前提下，判斷出惡意程序結(jié)束掉他的進(jìn)程或者插入的線程和模塊是比較好的一種方法！總之還是要熟悉系統(tǒng)！不熟悉的話利用搜索功能確定一下是否是可疑的！這樣比較好！
　　另外這里再介紹一下模塊這個(gè)概念吧！
　　模塊是什么？模塊，是指具備某一種或某一類(lèi)功能的特殊功能模塊，其外在的表現(xiàn)形式通常為各種動(dòng)態(tài)庫(kù)文件（通常以.dll為擴(kuò)展名字）或插件文件（通常以.OCX為擴(kuò)展名字）。它們由應(yīng)用程序加載，來(lái)為程序提供某一特定的功能。
二 自啟動(dòng)管理
同樣記得使用一下 隱藏微軟的簽名 然后可以看到一些啟動(dòng)項(xiàng)
比如我這里可以看到下面。隨便找一個(gè)卡巴吧！
展開(kāi)可以看到下面圖中一些信息：

右鍵 可以查看 文件信息 或者清除此項(xiàng)！

小結(jié)：這里面一般我們判斷啟動(dòng)項(xiàng)是否正常基本上都是從 文件 所屬公司 文件描述 和文件創(chuàng)建時(shí)間來(lái)判斷比較有效！不認(rèn)識(shí)的依舊可以利用搜索！

三 擴(kuò)展功能中的SSDT檢查

>

　　似乎比較多！右鍵篩選可疑項(xiàng)，就會(huì)比較少了。
　　上面的圖是一個(gè)SSDT檢查圖，右邊顯示的結(jié)果是一堆的服務(wù)函數(shù)。這個(gè)就要提到一個(gè)概念了！什么是SSDT ，以下直接轉(zhuǎn)載吧~ 省事！ 因?yàn)槲矣X(jué)得比我講的好！還清楚！
　　首先用比喻來(lái)形容一下兒這些電腦名詞與木馬技術(shù)的實(shí)現(xiàn)機(jī)制。
　　Windows（操作系統(tǒng)）就像一個(gè)為我們服務(wù)的管理公司，這個(gè)公司呢幫我們管理著我們的電腦。一個(gè)公司當(dāng)然不會(huì)是一個(gè)人，他們有很多人來(lái)完成不同的工作。
　　他們的工作流程是這樣的，有一個(gè)服務(wù)員是跟在我們身邊，當(dāng)我們有什么事情要辦的時(shí)候呢，就把事情告訴這個(gè)服務(wù)員，服務(wù)員就把我們的要求報(bào)上去，交給負(fù)責(zé)此事的部門(mén)去處理。再把結(jié)果告訴我們。
　　
　　SSDT是什么呢？就是一個(gè)指示路標(biāo)，告訴服務(wù)員什么事情應(yīng)該交給哪個(gè)部門(mén)去做。我們想結(jié)束進(jìn)程，然后會(huì)把這個(gè)任務(wù)交給服務(wù)員，服務(wù)員查看SSDT這個(gè)路標(biāo)，上面寫(xiě)著，“結(jié)束進(jìn)程是由NtTerminateProcess這個(gè)部門(mén)負(fù)責(zé)的”，然后服務(wù)員就會(huì)把工作交給這個(gè)NtTerminateProcess來(lái)處理。再把結(jié)果帶回給我們。
　　 HOOK是什么呢？HOOK是一種技術(shù)，這種技術(shù)就是改變SSDT的路標(biāo)內(nèi)容，改為“結(jié)束進(jìn)程是由木馬負(fù)責(zé)的”，這時(shí)，服務(wù)員就會(huì)把我們的結(jié)束進(jìn)程的工作交給木馬去處理了，木馬會(huì)查看我們要結(jié)束的是誰(shuí)，如果與它無(wú)關(guān)，它就接著行使服務(wù)員的工作，再把工作傳給NtTerminateProcess，然后把結(jié)果告訴服務(wù)員，由服務(wù)員再告訴我們。如果是結(jié)束它自己呢？它就不把工作向上報(bào)了，直接告訴服務(wù)員，這個(gè)工作是無(wú)法完成的。然后服務(wù)員再把結(jié)果告訴我們，我們就看到 上面的那個(gè)錯(cuò)誤提示了“無(wú)法完成操作”。
　　 對(duì)付HOOK-SSDT的技術(shù)呢，我們只需要把SSDT給恢復(fù)了就行了，恢復(fù)的操作就是用原始的SSDT來(lái)重新把正確的路標(biāo)寫(xiě)回去。一般這一層次的木馬這樣做完之后，就可以刪除結(jié)束木馬了。
知道了上面的概念以后！可以看到我這個(gè)！
>

是比較的正常的！
另外補(bǔ)充一下上面的INLINE-HOOK技術(shù)！
INLINE-HOOK是比HOOK更高一層的技術(shù)，那么什么又是INLINE-HOOK呢？仍然接著上面的解釋　　 服務(wù)員查過(guò)路標(biāo)后，將把工作交給特定的部門(mén)去做，一個(gè)部門(mén)也不會(huì)是一個(gè)人，流程會(huì)是這樣：交給部門(mén)的接待員，再由接待人員報(bào)上去、報(bào)給部門(mén)經(jīng)理的秘書(shū)、部門(mén)經(jīng)理的秘書(shū)再報(bào)給部門(mén)經(jīng)理，再由部門(mén)經(jīng)理實(shí)際分派人手去做。
　　而INLINE-HOOK技術(shù)呢？就是木馬打份成了接待人員并把真的接待人員給替換了。
　　木馬如果是替換的接待人員，那是 初級(jí)的INLINE-HOOK，如果它更高級(jí)還可以替換秘書(shū)、副經(jīng)理等，但它必竟不是接待人員也不是秘書(shū)不是副經(jīng)理，但它在那個(gè)位置上則必須要做那個(gè)位置的工作，所以，一些跟殺它無(wú)關(guān)的工作，本來(lái)它也想做好的工作，卻可能由于業(yè)務(wù)能力不足（INLINE-HOOK的技術(shù)不足），而做壞，導(dǎo)致正常工作總是出錯(cuò)，無(wú)法也正常人員在位時(shí)相比。（表現(xiàn)為機(jī)器總是莫名奇妙的出問(wèn)題、死機(jī)或藍(lán)屏）
小結(jié)：SSDT功能是強(qiáng)大的！使用起來(lái)也是方便的！這個(gè)比較值得推薦！
四 shadow 檢查！
可以查看一些隱藏的SYS文件 以及調(diào)用的函數(shù)。個(gè)人感覺(jué)有點(diǎn)類(lèi)似SRENG報(bào)告中的APIHOOK
這個(gè)純介紹一下吧！如圖 篩選可疑項(xiàng)后只剩下卡巴和它自己！

后 使用小技巧。如果利用狙劍來(lái)刪除無(wú)法刪除掉的文件。有如下參考方法：
１、如果文件是可執(zhí)行文件，那么在文件正在執(zhí)行時(shí)，無(wú)法刪除。

　　解決方法：在進(jìn)程管理中，結(jié)束掉該文件的進(jìn)程

２、如果文件是動(dòng)態(tài)庫(kù)文件（DLL），那么在加載后，無(wú)法刪除。

　　解決方法：進(jìn)程管理－查找模塊－強(qiáng)制卸載并刪除　就可以了。

３、文件被打開(kāi)后，無(wú)法刪除。

解決方法：進(jìn)程管理－查找打開(kāi)文件－關(guān)閉文件，即可刪除。

• 1
• 2
• 下一頁(yè)

相關(guān)文章

• 上一篇： 怎樣使用好Windows 防火墻
• 下一篇： 瑞星防火墻2008怎樣保護(hù)電腦網(wǎng)絡(luò)安全二