黑客时空 - 2009-10-22 11:14:00
1:进程管理
红色显示的是非系统的进程或文件。点击一个进程可以列出进程包含的模块。你可以中止包括系统进
程在内的所有进程,但不推荐你去中止第一个svchost.exe前的进程(包括第一个svchost.exe),这样做
的后果可能是导致系统重启或无法关机。
syscheck的进程管理页可列出win32级的隐藏进程,但不会特别标注它。
通常在手动杀毒中会结束那些红色显示的进程,很多全局钩子会插入到Explorer等系统进程中(注意
模块中的红色dll),所以有时也会结束这些系统进程以便删除病毒。为避免病毒进程的重复加载,可以
勾选<限制线程的创建>来禁止新的线程。
在进程管理页的模块显示栏中右键选项有属性,删除到回收站,加入到重启删除列表三项,可以方便
在进程显示页就分析、清理恶软或木马。
<删除到回收站>会结束该模块的主进程后删除模块列表中选定的文件,支持多选。
<卸载模块并删除文件>在删除全局HOOK的DLL时可能会用到。
<加入到重启删除列表>直接将选定的文件重启后删除。(注意不要把系统DLL删了)建议只对红色显
示的非系统模块进行删除处理。
<永久禁止此文件的执行>即软件限制策略,仅对exe文件有效。注意,过多地限制软件的执行可能会
影响系统运行效率。
2:服务管理
红色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。对于以svchost.exe启
动的服务,文件路径显示的是该服务文件而非svchost.exe的路径。这一点区别于sc命令显示出来的文件
路径。
中止服务功能是仅在系统重启前中止服务,并不是永久性的中止服务。而删除服务则是删除服务键值
(不提供删除前的保存。所以,要删除你得自已去确定是否真要这么做)。
值得注意的是,某些服务是无法中止或删除的(比如划词搜索的驱动服务)。这是因为它可能采用了
注册表键值的保护。对付这类服务,要使用内核Hook检查中的ssdt恢复功能后,才能在本页中删除其键值
(要注意的是,某些服务不提供终止服务,所以删除服务后它可能仍在运行,需要重启才真正停止)。
在服务页使用右键可获得更多的服务控制。
…………
点击迅雷下载
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 590; .NET CLR 2.0.50727; 360SE)
红色显示的是非系统的进程或文件。点击一个进程可以列出进程包含的模块。你可以中止包括系统进
程在内的所有进程,但不推荐你去中止第一个svchost.exe前的进程(包括第一个svchost.exe),这样做
的后果可能是导致系统重启或无法关机。
syscheck的进程管理页可列出win32级的隐藏进程,但不会特别标注它。
通常在手动杀毒中会结束那些红色显示的进程,很多全局钩子会插入到Explorer等系统进程中(注意
模块中的红色dll),所以有时也会结束这些系统进程以便删除病毒。为避免病毒进程的重复加载,可以
勾选<限制线程的创建>来禁止新的线程。
在进程管理页的模块显示栏中右键选项有属性,删除到回收站,加入到重启删除列表三项,可以方便
在进程显示页就分析、清理恶软或木马。
<删除到回收站>会结束该模块的主进程后删除模块列表中选定的文件,支持多选。
<卸载模块并删除文件>在删除全局HOOK的DLL时可能会用到。
<加入到重启删除列表>直接将选定的文件重启后删除。(注意不要把系统DLL删了)建议只对红色显
示的非系统模块进行删除处理。
<永久禁止此文件的执行>即软件限制策略,仅对exe文件有效。注意,过多地限制软件的执行可能会
影响系统运行效率。
2:服务管理
红色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。对于以svchost.exe启
动的服务,文件路径显示的是该服务文件而非svchost.exe的路径。这一点区别于sc命令显示出来的文件
路径。
中止服务功能是仅在系统重启前中止服务,并不是永久性的中止服务。而删除服务则是删除服务键值
(不提供删除前的保存。所以,要删除你得自已去确定是否真要这么做)。
值得注意的是,某些服务是无法中止或删除的(比如划词搜索的驱动服务)。这是因为它可能采用了
注册表键值的保护。对付这类服务,要使用内核Hook检查中的ssdt恢复功能后,才能在本页中删除其键值
(要注意的是,某些服务不提供终止服务,所以删除服务后它可能仍在运行,需要重启才真正停止)。
在服务页使用右键可获得更多的服务控制。
…………
点击迅雷下载
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 590; .NET CLR 2.0.50727; 360SE)