马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
【安全工具】超级巡警
1、请问什么是ROOTKIT?
Rootkit是一种特殊的应用程序,用以获得对计算机的绝对控制,Rootkit和操作系统紧密结合,允许电脑黑客修改系统环境变量和系统内核函数调用顺序,从而在系统程序中隐藏恶意的攻击代码,隐藏恶意系统进程、木马端口、后门文件或其它更多的程序。利用Rootkit技术改造的后门和木马程序,用户使用普通的任务管理器和资源管理器将查看不到任何木马进程和文件,仿佛他们不存在一样,而攻击者可以悄悄的做到任何他们想要在你的计算机上所做的控制操作。Rootkit最初起源于UNIX,今天Rootkit在Windows下正变得越来越流行,给用户带来极大的危害。
目前国内流行的使用ROOTKIT技术的后门主要有:NTROOTKIT、新版本灰鸽子、PcShare等等,超级巡警是国内首个提供自动化的ROOTKIT检测和清除的工具,在第一次启动的时候会强制检测系统中的使用ROOTKIT技术的木马,您也可以随时通过鼠标右键菜单进行ROOTKIT检测。
2、SSDT是什么,这个模块有什么作用?
SSDT是系统服务描述表,在该模块中可以查看和修复系统内核的服务描述表中的相关API,一般来说系统的服务描述表不会被第三方修改,但随着共享软件的增多,许多软件开始挂接修改系统的服务描述表中的函数为自己的函数,用来达到自己的一些特殊目的,这一技术也广泛的被木马、流氓软件利用,主要目的是用来隐藏和保护自身,本模块使的您可以恢复被修改的服务描述表为系统的默认函数,从来取消木马和流氓软件的修改。在列表中你看到红色字样的行,即是被Hook修改了的系统函数,在恢复成功后,该行将以绿色显示。
主要有三个功能:
①、恢复选择的Hook:恢复您当前行选择的被Hook的函数。
②、恢复所有的Hook:恢复全部列表中的函数地址为系统默认函数地址。
③、仅显示被Hook的函数:仅仅显示被Hook了的函数,这样便于查看。
以划词搜索为例来说,划词搜索使用驱动进行注册表Hook和文件Hook,它的两个驱动文件:hcalway.sys和abhcop.sys.sys交叉保护,划词搜索自身的卸载功能不能删除hcalway.sys和abhcop.sys.sys这两个文件,使用Icesword也不能直接删除这两个文件。对付类似的流氓软件使用的底层驱动,可以在SSDT中找到驱动文件,从红色的“当前服务函数所在模块”寻找它们,然后使用“恢复选择的Hook”功能恢复底层函数,恢复后,即可以删除划词搜索的相关注册表服务,然后在重启动,就可以完全删除驱动和其它的文件了。
对一些使用Rootkit技术的灰鸽子、PcShare木马,你在恢复了SSDT表后,会在进程管理和服务管理中发现一些多出来的项目。
3、端口关联报出我的机子上有隐藏端口,请问我该怎么办?
端口关联报出隐藏端口后,请在扫描检测中,使用“开始检测Rootkit”功能来进行检查,同时结合进程管理中查找是否有红色的隐藏进程和服务管理中查找是否有隐藏的服务项,利用SSDT来定位。如果这些都没有检测出来,那就是该端口是在检测的使用,系统临时开放的端口,可以忽略不管。
4、超级巡警提供我的WinSock SPI有问题,这是怎么回事?
超级巡警启动后,会自动检查用户系统的WinSock SPI链是否正常,如果发现问题则会提示用户进行修复。此时如果你的系统网络可以正常使用,我们并不建议你进行修复,许多第三方防火墙和SOCK代理转发会作出一些不正确的修改。如果你正好网络访问有一些问题,那极有可能是一些木马/流氓软件破坏了WinSock SPI,我们建议你在“启动管理”→WinSock SPI选项卡中,首先进行“备份SPI链”操作,备份完整后,使用“自动修复SPI链”功能尝试修复,如果修复后依然没有解决问题,那么我们建议使用“恢复系统默认SPI链”功能来强制恢复。一般来说这个时候可以完全修复SPI链存在的问题,当然如果有误操作,您可以随时使用“导入SPI链备份”的功能恢复备份。
5、为什么提示我敏感区文件操作?
木马后门的一个特性就是将文件复制到一些敏感的文件夹中,我们经过长期的分析经验总结出来的综合启发预警,会在木马偷偷进行文件复制的时候,及时提醒您,这样你会对自己系统中细微变化都了如指掌,配合进程管理和启动管理等工具,你可以手动来查杀这些未知的新木马了。
由于一些软件安装的时候也会进行敏感的文件操作,所以也会提示你,这样你可以很容易的发现有些软件捆绑了别的恶意代码,比如捆绑了流氓软件,本功最适合中高级用户使用。
6、扫描提示发现的木马,但没有清除掉,我该怎么办?
超级巡警对无法即时清除的木马,会在系统重新启动后进行清除,所以如果你在系统重启动后也无法清除发现的病毒。请在超级巡警的托盘图标上点击鼠标右键,选择上报样本文件,将该木马文件上报给我们,我们会尽快分析该木马特性,并提供解决方案。
超级巡警提供了对国内的恶意流氓软件检测功能,所以如果你发现超级巡警报的病毒描述中有广告件(ADWare)字样,众所周知,流氓软件使用了很多恶意手段赖在用户系统上,极难清除。针对这种问题,我们会在未来版本提供专门的流氓软件清除模块,敬请期待。
7、超级巡警支持压缩包的扫描么?
目前,超级巡警已经全面支持RAR、ZIP、CHM、CAB、等包裹的扫描检测。
8、我发现了误报,我该怎么办?
一般情况下,我们建议你在超级巡警的托盘图标上点击鼠标右键,选择上报样本文件,将怀疑误报的文件上报给我们,我们会尽快分析证实。同时我们希望你将误报的文件添加到信任列表,这样以后就不会对误报的文件进行扫描检测了。在“扫描检测”→ “设置”→“编辑信任列表”中你可以添加信任的文件和目录。
9、我很喜欢敏感预警的功能,但我不想让他占用我的CPU,我该怎么办呢?
任何软件只要运行都会耗费CPU运行时间,超级巡警在设计的时候已经尽量考虑CPU占用率问题,目前对CPU的占用主要体现在针对病毒的实时监控上来,您可以禁用实时监控,这样只占用“极低的”CPU时间了,同时其它所有功能都会正常工作,包括敏感预警。
10、我是否可以跟其它杀毒软件安装在一起?
完全可以!超级巡警设计初衷就考虑了兼容性,我们的目的是与目前市面上的防杀病毒等安全产品构成一套纵深防护体系。它能弥补防杀病毒等产品的缺陷,阻止未知威胁,实现我们终极防护的梦想:)
11、为什么我重新开机后它不自动启动,这是一个BUG么?
不是,超级巡警的初衷是纯绿色软件,我们不希望在用户不知情的情况下修改用户的系统。如果你想让它开机自动运行,可以在“设置”→“启动方式”中选择“自动随系统启动”
12、什么时候提示注册表被修改我无需惊慌?
①、当实时监控发现病毒后,你点清除按钮,然后弹出来的提示你无需关注。
②、当你在设置中,设置本软件为开机自动启动时,弹出来的提示无需关注。
③、软件在扫描时,发现了病毒,并且正在清除的时候,弹出来的时候无需关注。
13、为什么显示未注册了?
超级巡警软件更新很快,为了使得老用户能用上最新的发布版本,我们对放出去的下载版进行了时间限制,到期后将显示未注册,同时不能升级病毒库。这时候您可以到我们网站下载最新的版本进行继续使用。
14、除了购买外,我还有其它获取用自己名字注册的序列号的途径么?
有,你可以通过上报病毒样本来获得注册码奖励,一般来说,我们会确认最新有一定危害级别的样本或者到达一定数量后,赠送给您序列号或其它奖励。并且您撰文发表在杂志、刊物等媒体上,也同样有机会获得我们赠送的注册码。此外,如果你发现软件的一些BUG及时反馈,并有一些我们认可的功能建议,我们也会赠送注册码奖励。
15、发现并清除了我想用的程序,我该怎么办?
超级巡警默认对所有清除的程序会自动放到自身目录下的隔离区进行备份,你可以随时通过查看隔离区,找到你需要的问题,点“恢复”恢复该文件,这个时候超级巡警可能还会对该文件进行报警。你可以通过“扫描检测”中的“设置”→“其它设置”→“编辑信任列表”,将该文件加入到信任列表中,这样以后超级巡警就不会对该文件进行报警了。
我觉得挺好用的。大家可以试试~~
给大家准备了一些faq,希望有用~~
文件上传失败。。。。。vdisk又出问题了。。。。
给大家官方的。。。。
电信:下载
网通:下载 |
发表于 2006-11-12 11:19:45
发表于 2006-11-12 11:26:11
楼主
