原作者:钱云飞,原文地址:http://bbs.icpcw.com/thread-2406877-1-1.html。PowerTool与 XueTr都是可以替代不再更新的冰刃的、不错的安全辅助工具,支持win7,顺便说一下,powertool还有64位版本,支持64位的win7。图片水印多了点,不过基本上能初步了解此工具。
*************************
软件:powertool 4.2
环境:winxp pro 32位
特别说明,为了减轻写稿鸭梨,部分内容来自于是用手册。
软件简介:
这是一款手动辅助的杀毒工具,可以帮助你找出病毒木马在你的电脑动过的手脚,并驱除病毒设下的机关。
应用平台:Windows PE/Windows Xp/Windows 2003/Vista/Windows 7(32 bit)
一、对进程的检查
1、进程管理列表:
1)映像名称:进程名称
2)进程ID:进程的身份标识
3)父进程ID:该进程的创建ID
4)用户名:当前进程的帐户名
5)进程路径:进程所在的路径
6)占用内存:进程所占用内存
7)运行时间:开机后进程所运行时间
8)数字签名(签名公司名):有已署名和没有署名之分
9)文件厂商:进程文件的发布公司名
2、进程管理颜色说明:
1)黑色:文件厂商是微软的
2)蓝色:文件厂商是非微软的(如图所示),可通过检测数字签名或者自行判断
3)红色:由于隐藏模块的注入,需要特别注意
右击菜单的说明:
1)检测数字签名、检验所有数字签名:检验结果会在“数字签名(签名公司名)”显示“已署名”或者“没署名”;
2)上传到VirusTotal/Filterbit进行病毒扫描:把指定文件上传到VirusTotal/Filterbit网站进行扫描验证,需要联网;超20M上限会提示
在图中,可以看到N多进程,并且被不同颜色标识,点击进程,可以看到进程加载的相关模块。额,从我的系统的进程分析下吧,虽说是没什么问题的。
对于进程的分析,首先你要大致了解常见的系统的和软件的进程和路径。 例如QQ.exe,explorer.exe,conime.exe,ctfmon.exe等等。 还有,这些进程主程序的路径,比如explorer在windows文件夹里,svchost.exe在system32中,最好,还要知道这些文件的大小,有时候会被病毒替换。
伪装文件名是病毒一般的伎俩,比如expl0rer exp1orer 【把字母o和数字0替换,数字1和字母l替换】 或者如conine,comine 【正常情况下是conime,替换字母,一眼很难分辨】比如 存在进程services.exe,经检查,发现此文件存在于系统目录windows中。【正常情况下是在system32中】
现在,以我的系统的进程为例,进行分析
特别说明:现在的病毒流行白加黑的方式绕过杀软,所以,在这里你是看不到他的影子的。
选中挂红的进程,会看到一大叠被挂载的模块
第一个:
根据路径,文件名判断,这个东西理论上讲是QQ影音的右击菜单插件【如果安装了的话】。右击菜单的插件的名字一般会带有shel,l ext【这个最常见了】的字样。 至于他到底是真是假,自己右击一个视频文件就知道了,懂不?
第二个:
unlocker的右击菜单插件,就那个魔术棒子。 这个文件并没有按规则行事,但也难不倒我,以为右击菜单上本身就有这货。卸载这个软件也 就是反注册这个文件且删除相关文件。 【这个就靠经验和对细节的注意了】
第三个:
从路径(QQPCMgr)可只是QQ管家的东西(我已安装管家,没安装的就要注意了),路径中的数字代表版本号,plugins文件夹是插件的意思,filesmash是文件粉碎的意思,QMsoftext.dll 我之前说了,是右击菜单插件的意思。联系在一起就是【版本号为7.0.2998.207的QQ安全管家的文件粉碎功能的右击菜单插件】。看到没,文件的版本信息中的内容验证了我的分析是正确的! (鸟语不服者请无视这句话,o(╯□╰)o )
第四五七个:
全是右击菜单插件,不解释了,手残废了。。。。
倒数第四个:
360的东西,直接借个图:
倒数第二个:
QQ影音的东西,一眼没看出来是什么东西。。。右击,选择定位都资源管理器,找到那个文件,右击属性,查看文件大小标注日期,看看有木有问题。你可以看到文件有正常的签名。
在版本选项卡里可以看到文件的描述:i18n Framework for Client。Framework for Client 是客服框架的意思,单独分开的讲,我也不知道他具体的含义。 倒是这i18n 让人感觉莫名其妙。没关系,直接度娘下,找到答案了。
摘抄一小段:
随着全球经济的一体化,软件开发者应该开发出支持多国语言、国际化的Web应用。对于Web应用来说,同样的页面在不同的语言环境下需要显示不同的效果。也就是说,一个Web应用程序在运行时能够根据客户端请求所来自的国家和语言显示不同的用户界面。这样 ,当需要在应用程序中添加对一种新的语言的支持时,无需修改应用程序的代码。
也就是说这个dll是用于对不同的语言的支持的。
关于进程的就讲到这里了。
二、文件管理
文件中,分为磁盘、文件信息和占用情况(锁定)三大信息框;
My Computer等右键菜单:
查看锁定情况:可以在【占用情况信息】框查看占用文件进程和句柄信息
①右键菜单
解锁:关闭选中的进程的句柄
隐藏文件以蓝色和红色显示。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1277.html
