文章目录
进程信息排查软件
PCHunter简介
PCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。
PCHunter功能
进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能
内核驱动模块查看,支持内核驱动模块的内存拷贝
SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook
CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除
端口信息查看,目前不支持2000系统
查看消息钩子
内核模块的iat、eat、inline hook、patches检测和恢复
磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
注册表编辑
进程iat、eat、inline hook、patches检测和恢复
文件系统查看,支持基本的文件操作
查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME
ObjectType Hook检测和恢复
DPC定时器检测和删除
MBR Rootkit检测和修复
内核对象劫持检测
WorkerThread枚举
Ndis中一些回调信息枚举
硬件调试寄存器、调试相关API检测
枚举SFilter/Flgmgr的回调
系统用户名检测
使用场景
进程查看推荐使用procexp比较友好。PCHunter对于其他系统信息的查看功能,非常强大。
(1)查看一些隐藏进程,能结束一些procexp无法结束的进程。能暂停和恢复进程执行。
(2)查看进程的窗口、模块、内存。
(3)查看进程的线程,结束、暂停线程。
(4)查看系统内的驱动,隐藏驱动。分类查看(比如查看某一厂商的所有过滤驱动)。
(5)查看系统的钩子、手动卸载钩子。包括内核钩子、应用层钩子。
(6)查看文件(查看隐藏文件)、查看文件锁定情况、强制删除文件。
PCHunter分析应用层钩子
什么是应用层钩子
(1)应用程序必须依附一定的驱动才能运行,那些用于帮助应用程序通过系统验证,并正常运行的钩子就被称作应用层钩子。
(2)应用程序启动时,需要通过应用层钩子将消息发送给系统,通过系统验证后,消息再通过钩子发送给应用程序,如果这些消息被拦截,将会出现很严重的后果。
如何分析应用层钩子
(1)分析应用层钩子主要注意消息钩子,尤其是全局消息钩子,一般情况下,就是通过病毒截取全局钩子消息,来窃取自己想要的信息。比如键盘钩子,就是通过截取应用层键盘信息,将键盘的输入信息,截取后保存到txt文件中。
(2)在使用PC Hunter检测应用层钩子的时候,遇到红色显示情况,一定要引起大家足够的注意。但是切忌马上卸载,我们首先要查看进程路径。然后定位到文件管理器,校验数字签名。通过微软数字签名的一般不会有问题。
火绒剑:
1、以管理员身份运行“HRSword.bat”
2、运行“HRSword.exe”即可,以后每次都点这个运行火绒剑
如果电脑上安装了火绒安全,可以直接双击“HRSword.exe”运行
process explorer使用教程
Process Explorer是一款进程管理工具,可以帮助用户查看系统中正在运行的进程,以及进一步了解进程间的关系和资源占用情况。通过学习和使用Process Explorer的高级功能,用户可以更加准确地诊断和解决系统问题,提高计算机的运行效率和稳定性,
相关问题
Process Explorer 是一款 Windows 系统下的进程管理工具,可以查看系统中正在运行的进程、线程、模块、句柄等信息。使用时,可以先下载安装 Process Explorer,然后打开程序,就可以看到系统中所有的进程信息。可以通过双击进程来查看该进程的详细信息,也可以通过右键菜单来进行进程的操作,如结束进程、暂停进程等。同时,Process Explorer 还可以显示进程之间的关系,帮助用户更好地了解系统的运行情况。
Process Exoorer是一款 Windows 系统下的进程管理工具,可以显示系统中所有进程的详细信息,包括 CPU 使用率、内存使用率、预I/0 等。使用方法如下:
1.下载并安装 Process Explorer。
2.打开 Process Explorer,可以看到系统中所有进程的详细信息
3.可以通过点击列标题来按照不同的属性排序
Process Hacker
Process Hacker是一款免费开源的统进程管理和内存编辑器,它不仅能够帮助你查看管理进程,同时也能进行系统监视和内存编辑,帮助你监视系统资源、调试软件和检测恶意软件。
下载地址:https://process-hacker.en.softonic.com/
使用直接双击Process Hacker.exe
简单使用
1.监控流量
首先可以监测软件的流量
2.管理服务,包含检测系统加载的驱动
3.查看软件的网络连接
4.Find handles or DLLs 查找句柄或者是DLL模块在所有进程中的位置
Autoruns介绍
1、Autoruns简介
Windows官方提供的Autoruns工具,从字面来看很难理解其用途,因为直接翻译为“自动运行”,听上去好像是实现程序自动化运行的工具,但实际上,微软提供的这一款工具(Windows Sysinternals Autoruns For Windows)是用来查看、监视以及禁用自启动程序的最佳工具之一。
2、Msconfig查看启动项的弊端
通常,通过任务管理器或者Msconfig命令可以看到windows操作系统下自动运行的程序,但msconfig只显示启动和服务,并不检查数字签名,因此恶意程序很容易绕过msconfig隐藏起来。
3、查看那些启动项
Autoruns不仅仅显示在startup文件夹下的自动启动程序,也会显示通过Run/RunOnce或者其他注册表项实现自动启动的程序,也会详细显示文件管理器和IE扩展、工具栏、上下文菜单、驱动程序、服务、Winlogon项目乃至编解码器甚至Winsocks提供的程序等等,简言之,Autoruns几乎监控了windows系统下所有程序和启动项以供管理。
点击运行Autoruns,首先检查Logon(登录启动项),如下图:
检查是否登录的时候启动了异常的程序。
服务启动项
病毒也有可能是以创建服务启动项的方式保持长久运行,点击Autoruns的Services功能,如下图,检查是否有异常的服务启动项。
定时或计划任务
如果有定时或计划任务启动项,也要检查下(点击Autoruns的Scheduled Tasks功能)。通常这一项是空白的,如下图。如果有内容,则需要排查确认是否有某些应用或服务创建了这些启动项。
其它启动项
其它所有的启动项,均可以在”Everything“那一栏找到,这里面的启动项也有可能是病毒创建的
最低0.47元/天 解锁文章
609
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
