全面檢查 就是做掃描生成一個報告，檢查出各種內核級別的HOOK。以方便網上求助什么的！以及下面的基本都能看明白！就不說了！
這個就只介紹一下里面的設置系統監控吧。

　　可以看到默認勾選有禁寫物理內存，禁止系統調試，程序運行控制，驅動加載控制，進程注入控制，權限改變控制，鉤子安裝控制！這幾項都是用于防護和防范一些驅動級別或者內核級別的木馬，進行攔截或者保護的重要手段！
比如說像其中的禁止驅動加載，可以禁止驅動程序的加載，主要用于預防內核級別的木馬取得系統完全控制權的！
　　另外沒有勾選的 程序寫入控制和注冊表寫入控制，監視文件改變這個多用于清除時勾選便于惡意程序的分析與查找！后面還很多！這個不一一介紹了！
不過其中值得一提的是暫時鎖定系統功能！它可以暫時禁止系統范圍內的注冊寫入、進程創建、敏感類型的文件創建，主要用于清除自我保護、刪除后回寫的木馬。不過注意：鎖定系統后，將不能正常關機，如需要重啟且解除鎖定有可能導至木馬復活的，可以按機箱上的RESET鍵重啟系統。
好了！下面單擊托盤圖標~ 狙劍的界面就會跳出來！首先我們看到的是精簡模式，有以下幾個圖：
1，主動防御，是不是看的眼熟呢？那就對了！也就是剛剛上面講的托盤菜單的系統監控下的功能~！一模一樣！

2，常用功能，里面就是一些常見的修復，清理和優化功能，也沒什么好講的！需要注意的是終極修復慎用！

3， 新消息。這個只要連接網絡后就能看到一些版本消息或者注意事件。

下面我們來看看它的專業模式，點擊常用功能中的 進入專業模式 就可以進入專業模式。

　　大家可以看到專業模式是這樣的！右邊第一次進去是空白的！為了省事~我先截了左邊！
專業模式下面分為基本功能，擴展功能和其他功能！分別如圖！

　　由于狙劍的功能太強大了！時間關系我不對它一一作介紹了！下面具體來說幾個我覺得還是很不錯的功能和用法吧！
　　一 進程管理了！雖然很多工具都有這個功能！但是狙劍完全是由匯編編寫！功能強大！
可顯示進程信息：名稱、PID、父進程、參數，不一一解釋，只講怎么用吧！
使用起來可以參考下圖

比如我對我那QQ的進程點一下查找模塊，可以出來下圖

　　小結：在我們熟悉一些正常的進程和模塊和一些不正常的進程和模塊的前提下，判斷出惡意程序結束掉他的進程或者插入的線程和模塊是比較好的一種方法！總之還是要熟悉系統！不熟悉的話利用搜索功能確定一下是否是可疑的！這樣比較好！
　　另外這里再介紹一下模塊這個概念吧！
　　模塊是什么？模塊，是指具備某一種或某一類功能的特殊功能模塊，其外在的表現形式通常為各種動態庫文件（通常以.dll為擴展名字）或插件文件（通常以.OCX為擴展名字）。它們由應用程序加載，來為程序提供某一特定的功能。
二 自啟動管理
同樣記得使用一下 隱藏微軟的簽名 然后可以看到一些啟動項
比如我這里可以看到下面。隨便找一個卡巴吧！
展開可以看到下面圖中一些信息：

右鍵 可以查看 文件信息 或者清除此項！

小結：這里面一般我們判斷啟動項是否正常基本上都是從 文件 所屬公司 文件描述 和文件創建時間來判斷比較有效！不認識的依舊可以利用搜索！

三 擴展功能中的SSDT檢查

>

　　似乎比較多！右鍵篩選可疑項，就會比較少了。
　　上面的圖是一個SSDT檢查圖，右邊顯示的結果是一堆的服務函數。這個就要提到一個概念了！什么是SSDT ，以下直接轉載吧~ 省事！ 因為我覺得比我講的好！還清楚！
　　首先用比喻來形容一下兒這些電腦名詞與木馬技術的實現機制。
　　Windows（操作系統）就像一個為我們服務的管理公司，這個公司呢幫我們管理著我們的電腦。一個公司當然不會是一個人，他們有很多人來完成不同的工作。
　　他們的工作流程是這樣的，有一個服務員是跟在我們身邊，當我們有什么事情要辦的時候呢，就把事情告訴這個服務員，服務員就把我們的要求報上去，交給負責此事的部門去處理。再把結果告訴我們。
　　
　　SSDT是什么呢？就是一個指示路標，告訴服務員什么事情應該交給哪個部門去做。我們想結束進程，然后會把這個任務交給服務員，服務員查看SSDT這個路標，上面寫著，“結束進程是由NtTerminateProcess這個部門負責的”，然后服務員就會把工作交給這個NtTerminateProcess來處理。再把結果帶回給我們。
　　 HOOK是什么呢？HOOK是一種技術，這種技術就是改變SSDT的路標內容，改為“結束進程是由木馬負責的”，這時，服務員就會把我們的結束進程的工作交給木馬去處理了，木馬會查看我們要結束的是誰，如果與它無關，它就接著行使服務員的工作，再把工作傳給NtTerminateProcess，然后把結果告訴服務員，由服務員再告訴我們。如果是結束它自己呢？它就不把工作向上報了，直接告訴服務員，這個工作是無法完成的。然后服務員再把結果告訴我們，我們就看到 上面的那個錯誤提示了“無法完成操作”。
　　 對付HOOK-SSDT的技術呢，我們只需要把SSDT給恢復了就行了，恢復的操作就是用原始的SSDT來重新把正確的路標寫回去。一般這一層次的木馬這樣做完之后，就可以刪除結束木馬了。
知道了上面的概念以后！可以看到我這個！
>

是比較的正常的！
另外補充一下上面的INLINE-HOOK技術！
INLINE-HOOK是比HOOK更高一層的技術，那么什么又是INLINE-HOOK呢？仍然接著上面的解釋　　 服務員查過路標后，將把工作交給特定的部門去做，一個部門也不會是一個人，流程會是這樣：交給部門的接待員，再由接待人員報上去、報給部門經理的秘書、部門經理的秘書再報給部門經理，再由部門經理實際分派人手去做。
　　而INLINE-HOOK技術呢？就是木馬打份成了接待人員并把真的接待人員給替換了。
　　木馬如果是替換的接待人員，那是 初級的INLINE-HOOK，如果它更高級還可以替換秘書、副經理等，但它必竟不是接待人員也不是秘書不是副經理，但它在那個位置上則必須要做那個位置的工作，所以，一些跟殺它無關的工作，本來它也想做好的工作，卻可能由于業務能力不足（INLINE-HOOK的技術不足），而做壞，導致正常工作總是出錯，無法也正常人員在位時相比。（表現為機器總是莫名奇妙的出問題、死機或藍屏）
小結：SSDT功能是強大的！使用起來也是方便的！這個比較值得推薦！
四 shadow 檢查！
可以查看一些隱藏的SYS文件 以及調用的函數。個人感覺有點類似SRENG報告中的APIHOOK
這個純介紹一下吧！如圖 篩選可疑項后只剩下卡巴和它自己！

后 使用小技巧。如果利用狙劍來刪除無法刪除掉的文件。有如下參考方法：
１、如果文件是可執行文件，那么在文件正在執行時，無法刪除。

　　解決方法：在進程管理中，結束掉該文件的進程

２、如果文件是動態庫文件（DLL），那么在加載后，無法刪除。

　　解決方法：進程管理－查找模塊－強制卸載并刪除　就可以了。

３、文件被打開后，無法刪除。

解決方法：進程管理－查找打開文件－關閉文件，即可刪除。

• 1
• 2
• 下一頁

相關文章

• 上一篇： 怎樣使用好Windows 防火墻
• 下一篇： 瑞星防火墻2008怎樣保護電腦網絡安全二