“狙剑”是国内最近推出的一款功能强大的安全反黑工具,它提供系统监视、进程管理、磁盘文件管理、注册表检查、内核检查等功能。并且程序自带了很多系统监视功能,可以防止恶意软件对文件及注册表的修改,从而方便地手工查杀木马,是目前少数能与IceSword(冰刃)抗衡的反黑工具之一。
精简模式操作
当运行“狙剑”后,程序会自动缩小到系统栏中,双击图标可以展开软件的精简模式。精简模式包括进程管理、自启动程序管理等一些主要的安全功能。对不熟悉系统内部操作的用户来说,只需单击相应的功能按钮就可以完成所需要的操作。比如单击“进程”标签可以查看当前系统的进程信息,包括那些在任务管理器中查看不到的隐藏进程;单击“主动防御”功能可以有效阻止恶意程序的激活。主动防御的相关规则包括程序运行控制、钩子安装控制、程序写入控制、进程注入控制等。恶意程序做任何规则禁止的操作,程序都会进行拦截并提示用户注意。
专业模式操作
精简模式操作虽然可以帮助用户解决大部分常见问题,但如果遇到某些棘手问题,专业模式更胜一筹。
单击精简模式窗口中的“进入专业模式”命令进入专业模式,它的操作模式和冰刃有几分相似。下面就来看看在专业模式中,常用到的相关功能。
查杀木马
以下以查杀PcShare木马为例,阐述“狙剑”的使用方法。
PcShare木马采用反弹连接技术、HTTP隧道技术等,而且还使用了驱动隐藏模块,这样就可以更方便地隐藏和保护服务端程序。
首先查找PcShare木马的进程,因为无论是木马程序还是流氓病毒,只要查找到启动项和相关进程等信息,就可以清除恶意程序的相关内容。
在“狙剑”窗口中,单击“内核”下的“进程管理”命令,在进程列表中查看当前系统中的所有进程,包括那些被隐藏的木马服务端程序的进程。
单击鼠标右键中的“自动搜寻可疑模块”命令,程序自动扫描分析进程中的模块。该程序主要利用数字签名来进行模块好坏分析,因此没有数字签名的模块就会被检查出来,这里检测出一个名为“zbrmhjpa.dll”的可疑模块,而且该模块被插入到svchost.exe这个系统进程中。
单击“注册表”下的“自启动程序”命令,可以看到利用注册表、系统服务等多种方式启动的所有信息。启动列表里有两个可疑的启动项,其中一个启动项关联的是驱动隐藏模块,而另一个就是利用svchost.exe进程启动的可疑模块。清除起来很简单,在进程列表中找到“zbrmhjpa.dll”模块后,单击鼠标右键中的“卸载并删除”命令即可。另外在自启动列表中找到“zbrmhjpa”这项内容,同样单击鼠标右键中的“清除的时候删除文件”命令,这样就可以彻底清除该木马程序了。
自动修复
专业模式中的修复功能更加强大,“狙剑”自带的系统终极修复功能可以将系统还原到初装状态,也就是刚安装完Windows系统后的状态。当修复后第一次重新启动时,硬件驱动还未安装,修复完成后可能会出现桌面空白、较低的屏幕分辨率等状态,此修复并不会删除系统中的任何文件。因为安装的驱动程序其实都还在,只是系统暂时还不能装载而已,在大多数情况下只需要再重启一次,Windows系统就会自动将已经安装的驱动进行重新注册。
此功能的意义不言而喻,因为无论系统中了何种木马程序,都将在重启后变成一堆废物。它们的各种隐藏与保护手段都将失效,这时只需再用“狙剑”的文件验证功能对可疑文件进行筛选删除即可。但要特别注意,要防止被病毒木马二次感染,系统修复并不会删除文件,在打开磁盘分区时一定要注意里面的 AutoRun.inf文件。如果整个磁盘文件已被全部感染的话,该功能就无能为力了。
注册表操作
和其它安全工具一样,“狙剑”中也有一个注册表编辑器,这个编辑器是直接解析HIVE文件来实现注册表数据的读取与修改的,这相对于注册表来说已经是最底层的操作了,可以对最隐蔽的启动项进行查看与清除,同时也可以在恶意程序屏蔽注册表时进行操作。
文件管理
文件管理同样是安全检测的重点内容,选择需要查看的磁盘分区,对该分区的文件信息进行安全扫描,扫描结束后显示该分区的文件信息。程序自动统计出该磁盘中的文件数目,包括已有的和已经删除的文件和文件夹数目。通过右键菜单中的复制文件、破坏文件、查找文件命令可以对文件进行管理。
流数据扫描
许多用户在安装系统时都采用NTFS格式,而数据流正是NTFS格式下的概念。有人利用数据流来传播恶意程序,很多安全工具也加入了数据流的扫描检测,“ 狙剑”当然也不例外。单击“文件”下面中的“流数据扫描”命令,就可以发现隐藏在文件流中的病毒并清除,从而让系统变得更加的安全稳定。
注:狙剑现已被360安全卫士收购!
