自从病毒、木马诞生以来,网络几乎就没有一天宁静的日子,其破坏力大家也是有目共睹的,轻则系统瘫痪,重则损坏硬件,以及其他异常情况出现。本以为这就结束了,可没想到流氓程序又来侵袭,这里或许聪明的朋友会利用反黑工具将以上恶意程序赶走,但是曾经陪伴我们征战沙场多年的反黑利器有些疲惫不堪,此时的你不妨让snipesword5.0.1.3 (狙剑)软件接过接力棒,将反黑坚持到底。
小提示:snipesword5.0.1.3 (狙剑)软件是一款强大的安全反黑工具,其内部包括自启动项(包括隐藏的驱动和服务)、进程管理、SSDT、Shadow-SSDT,以及FSD的检测与恢复等功能。并且其自带的系统监视功能,可提供恶意软件对文件及注册表的修改监视,以方便我们手工查杀木马和恶意程序,另外它也是目前少数能与icesword抗衡的反黑工具之一,真是非常不错的反黑工具。
一、 从进程监视中寻找“木马猫腻”
snipesword5.0.1.3(狙剑)软件无需安装,只要从网上将其下载到本地计算机内,就可双击里面名称为“SnipeSword”客户端程序,将“软件操作”界面打开(如图1)。首先印入眼帘的是左侧三个功能栏,默认打开的是内核栏,我们从中单击里面“进程管理”标签,此时编辑区就会显示出当前系统所有运行的程序进程。如果你根据里面所提供的路径地址,发现有可疑进程存在,可以在其上方右击该进程,选择“结束进程”或者“暂停进程”选项,来停止其恶意程序的运行。另外如果你愿意的话,还可以通过SSDT检查、FSD检查、Shadow检查功能,对其里面的函数进行检查。当然这里不排除你看不懂函数,不过没关系可以将其跳跃过去进行下一步操作,放心不会影响我们对木马的最后判断。
图1
二、从注册表监视中,来寻找木马的线索
注册表包含 Windows 在运行期间不断引用的信息,例如每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置,以及系统上存在哪些硬件和正在使用哪些端口的记录。所以木马和病毒要想存留于本地计算机内,也会在注册表内留下自己的“恶意足迹”。
为了便于检查监视注册表的记录,我们单击左侧“注册表”按钮,下方显示栏目就会呈现出有关于注册监视的功能记录,其默认排在第一位的是“自启动程序”选项。这里选择该功能名称,稍等片刻后编辑区就会显示出当前系统所有启动程序的键值。因为每个程序都有自己的启动键值,你的系统如果安装了很多应用程序,其启动键值也就随着程序的增加而增加,太多的键值难免会让人眼花,检查起来很容易漏查键值不说,而且还很累人。
为了能够快速并准确的检查出恶意启动值,我们利用其软件自带的数字签名功能来进行检查,这里只要右击“任意启动键值”名称,选择“数字签名验证”选项,就会对系统每个启动值进行数字签名验证,而对于数字验证完的启动值显示为蓝色问号未知(如图2)。我们一定要对这类蓝色未知的启动项进行仔细检查,他们很有可能是木马和病毒的启动键值,笔者随后拖动了一下横条滑块,发现所属公司和文件描述都为空,一般来说正常的程序都会在此加以叙述,所以这里也足以说明其名称为恶意启动值。对于能够证明的恶意启动值,我们只要在其上方右击该名称横条,选择“清除的同时删除文件”选项,就可连同其文件一起被删除。
图2
1 2 下一页
安全中国首页 > 文章中心 > 安全软件