瑞星卡卡安全论坛

引用:

【梅边吹笛的贴子】  我原用的8.13版本也是这个数字签名。请问楼主，这个数字签名影响使用吗？谢谢！ ...........................

数字签名是保证程序合法，是否被篡改的一种技术，不影响使用。

下面的图表示文件没有被修改

附件: 5887812005102185511.JPG

这个图是我把Autoruns.exe内容改过后的

附件: 5887812005102185620.JPG

使用数字签名技术，就可以知道自己的工具是否被病毒感染。
本来我也想把这两个工具汉化一下的，也是因为这一点，没有实施。

其实这两个工具使用起来比较简单，英文看起来也不是很困难，使用时间常了就习惯了

非常感谢 BlackStone ，说实在的两个小工具已经使用一段时间，但使用的不够到位。

楼主介绍的6楼、7楼非常好，学了二招

几日前，遇到一个XP系统，1分钟内就重启。初一看，老问题。没想到：打完狙击波补丁（冲击波、震荡波因为SP2不用打补丁）；杀Supnot没有，在线查毒没有；查看恶意文件，也没有

当时，只有一种直觉，恶意文件与一个常用的程序捆在一起，但1分钟内就重启，时间实在太短，没有找到那个文件。我想6楼的方法，可以大大缩小范围。（可惜没有机会去验证）

再次感谢 BlackStone

【回复“猪宝宝2005”的帖子】

验证很简单的，你可以随便抓一个窗口，它都会定位到的，比如IE窗口它会定位到iexplorer.exe

我说的验证是找到那个恶意文件。可惜当时采用的办法是看那个不顺眼就卸载那个程序。问题是暂时搞定了，但也没有办法验证（找到那个恶意文件）

引用:

【猪宝宝2005的贴子】我说的验证是找到那个恶意文件。可惜当时采用的办法是看那个不顺眼就卸载那个程序。问题是暂时搞定了，但也没有办法验证（找到那个恶意文件） ...........................

理解错误，抱歉。
不过你说得那种情况一般都会以动态库的方式注入到Explorer.exe中，查起来比较费时，有时还得借助Autoruns工具

上次我用HijackThis.exe查了，没有发现
删除不顺眼的，也问题依旧。由于那个框不是一开机就有，曾一度怀疑：网络上别人搞鬼。用netstat -an查看前、后，没有发现有价值的线索

引用:

【猪宝宝2005的贴子】上次我用HijackThis.exe查了，没有发现 删除不顺眼的，也问题依旧。由于那个框不是一开机就有，曾一度怀疑：网络上别人搞鬼。用netstat -an查看前、后，没有发现有价值的线索 ...........................

对付网络问题Procexp有点弱，可以去www.sysinternals.com下载一个tcpview工具

楼主介绍的两种工具都相当不错，谢谢啦！

补充：
因为Procexp功能比较强大，有些木马会不停的遍历进程，当发现时就将procexp从进程杀掉，致使其不能工作，这时可以把改改一下名字，就可以了；另一种通过遍历窗口名字关闭procexp的方法我现在还没有解决方法。

感谢楼主分享！！！！

我顶

再顶！
楼主偶厚道吧

可惜是英文的看不懂

引用:

【煌荣人生的贴子】可惜是英文的看不懂 ...........................

其实工具的英文不是很难的，用一段时间就习惯了

补充Autoruns工具使用技巧：
autoruns启动项比较多，可选择Options->Verify Code Signatures & Hide Signed Microsoft Entries两项

这样就会缩小查看范围，还可以找出那些没有签名的项

如图：

附件: 58878120051212122918.JPG

图中选择项是微软第三方DLL项（Publisher是微软），可以选择属性确认：


附件: 5887812005102591934.JPG

属性说明是第三方给微软开发的

附件: 5887812005102592306.JPG

好帖子。

先收了  谢谢楼主````````````

大哥啊！
还是找汉化的吧！
英文看不懂啊！？？

引用:

【ΘōΘ阳光的贴子】大哥啊！ 还是找汉化的吧！ 英文看不懂啊！？？ ...........................

个人认为工具是英文挺好，只是工具作者的网站是英文的看起来有点费劲，若用汉化的可以在网上google一下

不错，谢谢！

感谢，顶

不错.

我的E文太差，呵呵，，，
先收下，，谢过楼主分享~~~
等找到看懂的再试试吧，，，

行慢慢学,像我这样岁数大的.学东西慢.一天看一点.