认识SnipesWord

全面检查 就是做扫描生成一个报告，检查出各种内核级别的HOOK。以方便网上求助什么的！以及下面的基本都能看明白！就不说了！
这个就只介绍一下里面的设置系统监控吧。

　　可以看到默认勾选有禁写物理内存，禁止系统调试，程序运行控制，驱动加载控制，进程注入控制，权限改变控制，钩子安装控制！这几项都是用于防护和防范一些驱动级别或者内核级别的木马，进行拦截或者保护的重要手段！
比如说像其中的禁止驱动加载，可以禁止驱动程序的加载，主要用于预防内核级别的木马取得系统完全控制权的！
　　另外没有勾选的 程序写入控制和注册表写入控制，监视文件改变这个多用于清除时勾选便于恶意程序的分析与查找！后面还很多！这个不一一介绍了！
不过其中值得一提的是暂时锁定系统功能！它可以暂时禁止系统范围内的注册写入、进程创建、敏感类型的文件创建，主要用于清除自我保护、删除后回写的木马。不过注意：锁定系统后，将不能正常关机，如需要重启且解除锁定有可能导至木马复活的，可以按机箱上的RESET键重启系统。
好了！下面单击托盘图标~ 狙剑的界面就会跳出来！首先我们看到的是精简模式，有以下几个图：
1，主动防御，是不是看的眼熟呢？那就对了！也就是刚刚上面讲的托盘菜单的系统监控下的功能~！一模一样！

2，常用功能，里面就是一些常见的修复，清理和优化功能，也没什么好讲的！需要注意的是终极修复慎用！

3，最新消息。这个只要连接网络后就能看到一些版本消息或者注意事件。

下面我们来看看它的专业模式，点击常用功能中的 进入专业模式 就可以进入专业模式。

　　大家可以看到专业模式是这样的！右边第一次进去是空白的！为了省事~我先截了左边！
专业模式下面分为基本功能，扩展功能和其他功能！分别如图！

　　由于狙剑的功能太强大了！时间关系我不对它一一作介绍了！下面具体来说几个我觉得还是很不错的功能和用法吧！
　　一 进程管理了！虽然很多工具都有这个功能！但是狙剑完全是由汇编编写！功能强大！
可显示进程信息：名称、PID、父进程、参数，不一一解释，只讲怎么用吧！
使用起来可以参考下图

比如我对我那QQ的进程点一下查找模块，可以出来下图

　　小结：在我们熟悉一些正常的进程和模块和一些不正常的进程和模块的前提下，判断出恶意程序结束掉他的进程或者插入的线程和模块是比较好的一种方法！总之还是要熟悉系统！不熟悉的话利用搜索功能确定一下是否是可疑的！这样比较好！
　　另外这里再介绍一下模块这个概念吧！
　　模块是什么？模块，是指具备某一种或某一类功能的特殊功能模块，其外在的表现形式通常为各种动态库文件（通常以.dll为扩展名字）或插件文件（通常以.OCX为扩展名字）。它们由应用程序加载，来为程序提供某一特定的功能。
二 自启动管理
同样记得使用一下 隐藏微软的签名 然后可以看到一些启动项
比如我这里可以看到下面。随便找一个卡巴吧！
展开可以看到下面图中一些信息：

右键 可以查看 文件信息 或者清除此项！

小结：这里面一般我们判断启动项是否正常基本上都是从 文件 所属公司 文件描述 和文件创建时间来判断比较有效！不认识的依旧可以利用搜索！

三 扩展功能中的SSDT检查

>

　　似乎比较多！右键筛选可疑项，就会比较少了。
　　上面的图是一个SSDT检查图，右边显示的结果是一堆的服务函数。这个就要提到一个概念了！什么是SSDT ，以下直接转载吧~ 省事！ 因为我觉得比我讲的好！还清楚！
　　首先用比喻来形容一下儿这些电脑名词与木马技术的实现机制。
　　Windows（操作系统）就像一个为我们服务的管理公司，这个公司呢帮我们管理着我们的电脑。一个公司当然不会是一个人，他们有很多人来完成不同的工作。
　　他们的工作流程是这样的，有一个服务员是跟在我们身边，当我们有什么事情要办的时候呢，就把事情告诉这个服务员，服务员就把我们的要求报上去，交给负责此事的部门去处理。再把结果告诉我们。
　　
　　SSDT是什么呢？就是一个指示路标，告诉服务员什么事情应该交给哪个部门去做。我们想结束进程，然后会把这个任务交给服务员，服务员查看SSDT这个路标，上面写着，“结束进程是由NtTerminateProcess这个部门负责的”，然后服务员就会把工作交给这个NtTerminateProcess来处理。再把结果带回给我们。
　　 HOOK是什么呢？HOOK是一种技术，这种技术就是改变SSDT的路标内容，改为“结束进程是由木马负责的”，这时，服务员就会把我们的结束进程的工作交给木马去处理了，木马会查看我们要结束的是谁，如果与它无关，它就接着行使服务员的工作，再把工作传给NtTerminateProcess，然后把结果告诉服务员，由服务员再告诉我们。如果是结束它自己呢？它就不把工作向上报了，直接告诉服务员，这个工作是无法完成的。然后服务员再把结果告诉我们，我们就看到最上面的那个错误提示了“无法完成操作”。
　　 对付HOOK-SSDT的技术呢，我们只需要把SSDT给恢复了就行了，恢复的操作就是用原始的SSDT来重新把正确的路标写回去。一般这一层次的木马这样做完之后，就可以删除结束木马了。
知道了上面的概念以后！可以看到我这个！
>

是比较的正常的！
另外补充一下上面的INLINE-HOOK技术！
INLINE-HOOK是比HOOK更高一层的技术，那么什么又是INLINE-HOOK呢？仍然接着上面的解释　　 服务员查过路标后，将把工作交给特定的部门去做，一个部门也不会是一个人，流程会是这样：交给部门的接待员，再由接待人员报上去、报给部门经理的秘书、部门经理的秘书再报给部门经理，再由部门经理实际分派人手去做。
　　而INLINE-HOOK技术呢？就是木马打份成了接待人员并把真的接待人员给替换了。
　　木马如果是替换的接待人员，那是最初级的INLINE-HOOK，如果它更高级还可以替换秘书、副经理等，但它必竟不是接待人员也不是秘书不是副经理，但它在那个位置上则必须要做那个位置的工作，所以，一些跟杀它无关的工作，本来它也想做好的工作，却可能由于业务能力不足（INLINE-HOOK的技术不足），而做坏，导致正常工作总是出错，无法也正常人员在位时相比。（表现为机器总是莫名奇妙的出问题、死机或蓝屏）
小结：SSDT功能是强大的！使用起来也是方便的！这个比较值得推荐！
四 shadow 检查！
可以查看一些隐藏的SYS文件 以及调用的函数。个人感觉有点类似SRENG报告中的APIHOOK
这个纯介绍一下吧！如图 筛选可疑项后只剩下卡巴和它自己！

最后 使用小技巧。如果利用狙剑来删除无法删除掉的文件。有如下参考方法：
１、如果文件是可执行文件，那么在文件正在执行时，无法删除。

　　解决方法：在进程管理中，结束掉该文件的进程

２、如果文件是动态库文件（DLL），那么在加载后，无法删除。

　　解决方法：进程管理－查找模块－强制卸载并删除　就可以了。

３、文件被打开后，无法删除。

解决方法：进程管理－查找打开文件－关闭文件，即可删除。

• 1
• 2
• 下一页

相关文章

• 上一篇： 怎样使用好Windows 防火墙
• 下一篇： 瑞星防火墙2008怎样保护电脑网络安全二