瑞星卡卡安全论坛技术交流区系统软件 【新软推荐】安全辅助:木马辅助查找器【原创】

1   1  /  1  页   跳转

【新软推荐】安全辅助:木马辅助查找器【原创】

收藏
Longnight
头像
初生襁褓狮
  • 帖子:84
  • 注册: 2006-07-08
  • 来自:
发表于: 2006-08-03 22:24 | 显示全部 短消息 资料
字号: 1楼

【新软推荐】安全辅助:木马辅助查找器【原创】

现在的木马泛滥,有时一不小心就容易中招,当然,有些朋友会立刻打开杀毒软件查杀,这的确是个好方法,但如果杀毒软件无法查到木马怎么办呢?其实我们可以手工查杀,我今天给大家推荐一款杀木马的辅助工具--木马辅助查找器,它是灰鸽子工作室出品的软件。它只有350KB,虽然小巧,但却是五脏俱全。首先打开软件可以看到主界面(如图1),它包含了“端口信息”“进程监控”“共享管理”“启动项管理”和“其它工具”。最下面的窗口显示的是你机器上的所有网络设置,包括它们的名称,MAC地址,接受数据和发送数据。






  “端口信息”里罗列出了所有本机连接的端口,包括它的进程,文件路径和IP等等(由于我的机器不知为什么,端口信息里是空白的,所以没发给大家具体介绍,望原谅。)

  接下来是“进程监控”,进程监控是杀木马主要用到的功能,我们可以在窗口中看到本机的所有正在运行的进程,而且包括了每个进程的ID值,ID值可以帮助我们强制关闭进程,有兴趣的朋友可以上网查查相关信息,其实就相当于任务管理器里的PID值。还有进程的线程数,路径,通过路径我们可以查看该进程是不是位于正常的系统路径。还有公司信息也很重要,一般标记有微软公司(Microsoft Corporation)信息的进程基本上我们可以放心了,如果标记的是“未检测到”,那可就要小心查看了。“描述”可以看到该进程的全称,也很有用。进程窗口下面是加载DLL信息的窗口,当我们点击一个进程时,会在窗口中出现该进程所加载的所有DLL文件,对于那些“插入式DLL木马”,它们在这里就会原形毕露了,通过“路径”“公司”和“描述”我们很容易就可以发现木马的踪迹。而且软件还提供了“自动扫描可疑程序”功能,软件会自动帮我们找出可疑程序,有时它也会误报一些进程,比如我的机器就报出了realplayer的进程,所以还需要大家仔细查看。还有就是它有个比较人性化的功能,当我们右键某个进程的时候,会出现三个选项,我们可以快速进入该进程的文件夹;结束该进程和结束并删除。






  接下来是“共享管理”,由于我的机器不需要共享,也不在局域网内,所以我现在还没用到该项,有共享的朋友可以自己试试。望原谅。

  “启动项管理”是很多系统辅助软件都有功能,但我注意到,木马辅助查找器的启动项管理中还列出了隐藏的启动项,就是Shell和Userinit,它们的注册表位于SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,从这里我们也查看是否加载了木马。在启动项管理项下还有其它3个功能,“文件关联管理”可以修复错误的文件关联;“后台服务管理”可以查看本机的所有服务状态,从这里也看到搜索到病毒的相关服务。AUTOEXEC.BAT是DOS自动加载的程序,可以在里面加载一些需要在DOS下启动的程序,比如所smartdrv等等。










  “其它工具”里包含了查看文件是否被捆绑和文件操作监视,现在的一些木马会被捆绑在一些正常的文件中,当我们双击打开该文件时,木马也就随之运行了,为此,我们可以根据“查看捆绑功”能来查看文件是否捆绑了木马或流氓软件,其实对于一些捆绑了流氓软件的程序,一般都会有选择安装项,我们在安装程序时注意一点就可以了,但也有一些强制安装的。“文件操作监视”也是不错的功能,它可以监视某个文件夹里的所有文件,比如监视system32文件夹。从中我们可以看到是否有新建文件,删除文件,修改等等,对于查看病毒也很有用。






当然,可能还有一些功能我没有发现,还期盼着大家发现新的用法和功能,有什么错误希望大家指点,谢谢

Ps:我的文字功底很差,还请原谅。
最后编辑2007-05-29 16:15:20.747000000
分享到:
gototop
 
Longnight
头像
初生襁褓狮
  • 帖子:84
  • 注册: 2006-07-08
  • 来自:
发表于: 2006-08-04 06:08 | 显示全部 短消息 资料
字号: 2楼

gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT