IceSword: 让病毒、木马无所遁形

曾经有个利刃叫做 IceSword(冰刃),这是一款功能强大的安全辅助软件,用于查探破坏系统的幕后黑手,它还运用各种新颖的内核技术,使得这些后门无所遁形。但因停更,缺乏对新系统的支持,一代经典就此陨落。

icesword.jpg

它有还算强大的自我保护功能,例如随机字串标题栏、关闭确认窗口等,所以部分病毒根本无法阻止它的运行。可以通过它来查看和管理进程(可以禁止进线程创建)、端口、服务、SPI、SSDT、内核模块、启动项目等,而且针对某些病毒屏蔽注册表和显示隐藏文件功能的情况,还提供了对注册表和文件的管理。

Process Monitor: 监视系统一举一动

Process Monitor.png

Process Monitor 是款 Windows 下的高级监视软件,可以实时监视文件系统、注册表、进程、线程和 DLL 的活动情况。它结合了 Filemon 和 Regmon 的功能,并且还增加了大量的增强功能,包括筛选功能、事件属性、进程信息、线程堆栈、日志记录等。这些异常丰富的功能使 Process Monitor 成为排查系统故障和捕获恶意软件的核心实用工具。

PowerTool: 国产系统管理工具

PowerTool 可以强制结束进程和卸载模块,还可以查看文件被占用的情况并且解锁占用进程,甚至可以粉碎顽固文件还能阻止文件还原。同时可以很全面地查看管理系统信息,包括但不限于文件、进程、服务、内核、钩子、启动项、加载项、注册表和硬件信息。功能多得数不胜数。

PowerTool.png

温馨提示:这是一个内核级的软件,因此比较容易造成蓝屏或者出错,我就试过一次,建议各位谨慎使用此类软件。如果发生错误,建议将生成的 Dump 文件(可从应用程序所在目录或系统盘的 WIndows 文件夹下找到)发到作者邮箱 [email protected],它将及时分析原因并且加以改进。

仅凭三款软件清除简单病毒

前面已经介绍过了 Process Monitor、Process Explorer、Autoruns 三款软件,在故事里丽萨通过这些软件最终自行清除了病毒,但是丽萨究竟是如何通过上述软件完成目的的呢?下面就用一个简单的例子来介绍一下怎样使用这些软件。

Process Monitor 是款高级监视软件,可以实时监视文件系统、注册表、进程、线程和 DLL 的活动情况。Process Explorer 是款增强型的任务管理器,可以找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。Autoruns 可以查看哪些程序被配置为在系统启动和您登录时自动启动。

Process Monitor.png

丽萨已经知道这个病毒会在可移动磁盘里生成 autorun.inf 文件,因此她打开了 Process Monitor,然后打开工具栏上的 Filter 按钮,新增一个 Path 属性包含 autorun.inf 的过滤器,然后就发现了这个病毒。丽萨随后记下它的进程名和 PID。

Process Explorer.png

之后打开 Process Explorer,看到如此多的颜色,不禁愣了一下。之后她打开了 Options 菜单,找到 Configure Colors… 选项,终于明白了这些颜色各自代表什么含义。原来在默认情况下紫色代表封装过的程序,粉色代表系统服务,黄色代表 .Net 应用程序。

电脑的速度还是很慢,她打开了 View 菜单下的 System Information,在那里可以了解整个系统的运行情况。然后搜索之前记录下的 PID 为 9999(虚构)的进程,找到结果之后点击 Properties 选项就能查看它的属性,那里所提供的信息非常详尽。在按 Del 强制关闭它之前,同样先把这些信息都记录下来。

接着她打开了 Autoruns,看到满屏幕的加载列表,丽萨再次被震惊了。原来这里上面有着 Windows 以及其它程序的自动运行列表,包括驱动、控件、任务、服务、程序和动态链接库等。自动启动方式之多使得病毒非常容易加载。

Autoruns.png

为了清除残余的启动项,丽萨依照进程名搜索了一遍,然后将发现的在备份后全部删除。之后根据所记录的进程信息,寻找疑似病毒文件,并且将发现的在备份后全部删除。最后便可重启计算机,使用更为方便的软件进行修复了。

Process Explorer: 加强版任务管理器

Process Explorer 是款免费、轻巧且又强大的任务管理器软件。它可以让用户了解看不见的后台程序,并且可以帮助用户管理程序进程,还能详尽地显示计算机的信息,包括 CPU、内存、磁盘、网络的使用情况。而且还是微软著名工具包 Sysinternals 的组件之一。

Process Explorer.png

这个软件可以监视、挂起、重启、强行终止任何程序,可以知道哪个程序调用了那些 DLL、句柄、模块、系统进程,还可查看进程的路径以及公司、版本等详细信息。它以目录树的形式展现进程之间的归属关系,多色彩显示服务进程,还有曲线图可供查看。他还具有很强大的搜索功能。

通过这款软件,用户可以找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者,用户还能深入了解 Windows 和应用程序的工作方式。这款软件在对 Windows 系统和应用程序进行管理、故障排除和诊断时很有帮助。

Autoruns: 启动项管理

Autoruns 是款启动项目管理工具,可以用于查看当前配置的自动启动应用程序,以及用于自动启动配置的注册表和文件系统位置的完整列表。这款程序的功能远远超过了 Windows 系统自带的 MSConfig 实用工具。

Autoruns.png

Autoruns 显示的自动启动位置包括登录项、资源管理器加载项、包括浏览器帮助对象 (BHO) 在内的 Internet Explorer 加载项、Appinit DLL、映像劫持、引导执行映像、Winlogon 通知 DLL、Windows 服务和 Winsock 分层服务提供程序。切换选项卡就可查看不同类别的自动启动项目。

展开

Sysinternals Suite: Windows 工具合集

Sysinternals 实用工具在对 Windows 系统和应用程序进行管理、故障排除和诊断时很有帮助。被认为是“比微软还了解 Windows”,到了后来微软干脆就招安了这家公司,因此绝对不用担心兼容问题。这些工具每一个都非常实用,并且都可独立使用。

Sysinternals Suite.png

如果能够灵活运用它们,基本可以解决 Windows 的大部分疑难杂症,甚至还能深入了解 Windows 以及其它程序是怎样工作的。微软为了方便各位使用,特地打包这些工具,为你提供免费的 Sysinternals Suite

CodeGuard: 轻松备份网站数据!

苹果 OS X 里面有项功能——Time Machine,这项功能会自动备份 Mac 的所有内容,而且还能牢记系统在任意一天的状态,因此你可重访过去某个时段中的 Mac。那么,究竟有无这么一个服务,能让我们轻松备份网站数据,而且能像 Mac 中的 Time Machine 一样随时可以恢复网站到以前的版本?

CodeGuard.jpg

CodeGuard 就是这么一个全自动的网站备份服务,它让站长们可以方便地去备份和恢复自己的网站数据,甚至包括数据库。为了节省备份时间和存储空间,它使用了差异备份的方式,首次完整备份之后再来备份只会传输有变动的部分。

展开