前言
狙剑是个非常强悍的反毒反黑工具,体积小,功能强,唯一目前就是易用性差,不过这也跟使用者是否具有相关的专业知识有一定关系。
为了能让大家有效使用狙剑,我们特别组织了这么些文字,以供大家参考,希望有所帮助。
一、 进程管理
进程管理是非常重要的,这就相当于敌对分子潜入了我们国家想进行破坏,有效的区分哪些是好人哪些是敌对分子是最基本的一个步骤,因为只有在我们确定对像后,才可以采取有效措失来保护国家和人民安全。
然而敌对分子跟公民及好人都长的一样,我们如何来区分呢?第一就是查身份证,有身份证的当然就是公民了(假设身份证不可伪造),计算机里面的身份证就叫数字签名。OK公民确认了,可还有国外正常来咱们国家旅游和投资的,也没有身份证,那总不能说就是敌对份子吧?当然不能,这时我们就得检查他护照,在计算机中,就是第三方数字签名验证。这样排查后,基本就剩下没有证件的可疑人员,可这里面有些人只是赚口饭吃的,也不一定会搞破坏啊,所以也需要对他进行区分。那对这些人,就只能是尽可能的去查他的背景资料和跟踪他的行为了。
我们就来看看如何用狙剑来实现这些管理。
1.1、进入狙剑—基本功能—进程管理,这里就可以看到计算机上所有正在活动的进程,然后我们右击分别点击:隐藏微软签名项和隐藏第三方签名项。如下图:
这般之后,留下来的可疑人员了,如下图:
所剩无几了,这时再来区分就比较简单。有些东东是我自己安装了,所以一看便知,比如上图中的100+.exe、looknstop.exe、ssmgr_ccb.exe等等。这些我们都可以把他加入信任列表,在第二次刷新时也就会隐藏不见了。但假如还有你不确定的,比如HPZipm12.exe,看起来像是HP的什么东东,可是又不确认,那怎么办呢?没关系,有三个方法,首先你可以记下这个进程的ID,在这里就是2004,然后打开100+工具包中,其他工具—prcmgr,如下图:
这样,我们就确信了。(你也可以通过这个软件来学习机器上,特别是系统的进程都是负责哪部分工作了)当然也有这里没有描述的进程,此时,我们还可能通过google等网络手段,来了解未知进程的情况,当然确信后,我们还可以编辑prcmgr里相关进程的描述,以便下次时使用。
此时,我们基本上就能摸清所有进程的情况了,如果进程都可信,那么恭喜您了,相对来说,你的机器是安全的,如果有不可信,记下来,先不要做任何操作。不过,你也可以试着结束它一下,如果很快他又产生了,那么很有可能是病毒的。记下它,在没有破坏病毒的生存环境之前,单纯结速他是没有做用的。
1.2、上面说到,你的进程都是可信的,但是真的就安全吗?不一定,只能说相对的。为什么?因为很多病毒都会把DLL文件注入到正常进程中,让你不易发觉。相当于我们的公民和好人被敌对分子植入芯片,被他控制了(^-^科幻小说)。所以我们通过身份检查时也不能发现什么问题。这个时候怎么办呢?没关系,还是用狙剑。因为我们可以对他进行X光扫描嘛,呵呵,有没有异物一扫就知道了。
同样进入进程管理,这回需要点击“扫描无微软签名模块”,如下图:
时间会稍久些,完成后,所有没有验证的模块全部都列出来了。非常多,是不是头晕啊。没关系,一般而言,病毒只会注册到系统的进程中去,因为其他的应用程序太多,病毒不大可能都去研究注入,所以我们只要关注系统进程的DLL就可以了。我们可以把应用的进行隐藏。如下图:
这样,我们所看到的东东就不会这么多了!然后关注一下系统进程中的那几个列出来的DLL文件,在无法判断的情况,可以选择google搜索,或提交到
http://www.virustotal.com/zh-cn/ 网站,进行多杀毒引擎扫描。
在我们做完这些检查之后,基本上就能确定我们的机器是否安全。没有异常进程,又没有异常模块,那么我们大可以安心睡觉了。
现在,大家都可以拿起狙剑,给自己做个初步的安全检查了!!
