HijackThis扫描软件的缺点
我想知道为什么你推荐使用HijackThis扫描系统。
这个软件虽然表面上看还很全面
但是它遗漏的很多重要的部分
很多病毒无法发现
我的个人和瑞星听诊器报告做对比后得出:
第一,无法显示进程加载的DLL,这个是一个比较严重的问题,系统加载的DLL很关键,现在多数病毒都会利用这个来做保护。
第二,无法显示系统所加载的驱动,并不能显示内核程序。遗漏大部分rootkit隐藏的病毒。
第三,无法完全显示系统服务项。
第四,软件的日志无章法,所有启动项按照软件作者的意图顺序码放,一般初学者是无法看懂的,并且没有所指向的路径。
第五,可以显示IE插件,但是无法彻底清除一些非常流氓的恶意插件,也不显示具体位置。
第六,并不检查关联,对一些病毒无法清除。
第七,只做扫描,没有对一些常见病毒种群进行判断
以上属于我个人观点,当然也有好的地方,就是文件小,方便快捷,简单易用等等,但是初学者就是看不懂。以上所提问题,我都可以拿出病毒源文件,可以跳过这个扫描
来晚了,回帖太多了,为了便于大家看到,只能采取“批复”的方式了
首先再次重申,我们没有唯HijackThis盲从的问题。这个回帖的魔法、mopery等已经给出了回答。
对楼主的问题,我来个粗略的回答吧,同样比较一下
第一,无法显示进程加载的DLL,这个是一个比较严重的问题,系统加载的DLL很关键,现在多数病毒都会利用这个来做保护。
HijackThis无法显示加载的dll,这的确是一个问题。瑞星听诊器只显示dll,没有签名认证
而SREng,隐藏经认证的微软系统dll加载,而显示出来的dll有显示签名。
第二,无法显示系统所加载的驱动,并不能显示内核程序。遗漏大部分rootkit隐藏的病毒。
这也是个问题。不过瑞星听诊器则又一次走另一个极端,显示所有系统的和非系统的驱动。当你的听诊器日志是原来的网页格式的时候,OK没问题,系统的和非系统的用不同的颜色显示出来,使你比较容易分辨,可是当你把内容贴到论坛上来时,还有颜色吗?!没了……
有颜色分别的驱动项,就跟SREng日志的驱动项差不多,还比SREng少了签名信息;没有颜色分别的驱动项,那又如何?!
第三,无法完全显示系统服务项。
这有时也是个问题。不过又一次,。瑞星听诊器用网页表示的日志信息,可以区别系统和非系统项目(准确度尚未可知),但是没有显示非系统项目的签名;而把它的内容复制粘贴到论坛上来的话,没有颜色标识的日志,那会是什么状况?!
而SREng则隐藏经认证的微软系统服务(对于svchost.exe调用的服务,如果其servicedll通不过SREng的微软签名认证,也会显示出来,而对于servicedll这一点,连瑞星听诊器都没有这个显示,魔法说的能够过听诊器的东西,完全可以从这一项着手!)
第四,软件的日志无章法,所有启动项按照软件作者的意图顺序码放,一般初学者是无法看懂的,并且没有所指向的路径。
日志无章法,启动项顺序问题,到底是软件作者的习惯问题,还是楼主自己的习惯问题?!
别的项不说,O2到O23项的排列,楼主可以试试现在其他的工具,雅虎助手的日志,360安全卫士的日志,其中的O2到O23全都是跟HijackThis一样的排列方式。而且从使用的范围来说,HijackThis是国外的病毒论坛都经常使用的,可以说是这种方式的最初设计者。
对于日志启动项的顺序问题,如果楼主看不顺眼,是不是要所有使用HijackThis的人,包括老外们都改变习惯啊?!但是我看惯了HijackThis之后,刚刚看了一眼瑞星听诊器的日志,反而没觉得不习惯呀,两者并没有本质的不同。
“一般初学者是无法看懂的”这点恐怕我们所有反病毒论坛上的版主们都不会同意。正如mopery所说,HijackThis才是最简单最容易学的。
而显示具体路径的问题,楼主指的是注册表路径吧?的确,项目对应的注册表路径没有具体完全地显示出来,但是,如果是完全显示的话,那有多少人会明白这个注册表路径就是代表什么?浏览器的额外按钮,浏览器右键菜单的额外项目(瑞星听诊器日志里,没有……),如果把它们的注册表路径完整列出来,而不做解释,一个新手,能知道那个路径代表什么吗?这难道就是楼主倡导的易用?
显示路径,技术上有困难?恐怕没有,因为扫描软件本来就是去读取注册表里这一项。但是,日志显示出来的是解释(这一项目代表着什么)而不是把注册表位置原原本本地摆出来然后让新手丈二和尚摸不着头脑!这种处理正是完全出于方便初学者的考虑!如果这样初学者无法看懂了,那我倒想问问,初学者是最需要的,是知道这一项是代表着什么意思呢,还是要知道这一项在哪里?!
等到一定程度上熟悉了注册表相应位置之后,HijackThis的项目的注册表路径,它不用写你都知道了,不显示出来不会对你读懂这个日志有真正的障碍。
第五,可以显示IE插件,但是无法彻底清除一些非常流氓的恶意插件,也不显示具体位置。
HijackThis并没有自动清理流氓软件的功能,O2项修复时自动删除对应文件也是比较方便初学者的考虑。如果是流氓软件,还是那句话,卸载而不是强制删除。既然提到了这个O2项删除文件的附加设置,再说一句,taylor05771提到的瑞星听诊器即使发现了,也不能直接修复项目的问题,难道这种设置就是方便初学者吗?!
第六,并不检查关联,对一些病毒无法清除。
我同意。SREng就有显示文件关联,而且还显示当前的文件关联是否正常(准确地说是否是默认设置),而且只要按一下键就可以改回默认。反观瑞星听诊器,也有显示啊,但是事先不懂得默认的文件关联是什么样子的初学者,如果不正常,他知道怎么改过来吗?不能直接修复啊!!
第七,只做扫描,没有对一些常见病毒种群进行判断
又说到老问题了,HijackThis何必做这样的功能?HijackThis不是杀毒软件,也不是杀软厂商做出来的专杀或提取工具,它何必搞个特征码判别?SREng、autoruns不是也没有吗?在这个问题上,拿HijackThis和瑞星听诊器比本身就不合理,因为在这个方面没有可比性。顺便说一句,瑞星听诊器的病毒种群判别实在不敢太相信,taylor05771也指出了它更新慢的问题。
其实以上HijackThis确实在某方面存在的问题,不用楼主来告诉我们,我们早就发现了,所以,我们从来没有说过HijackThis能包治百病。我们也是结合SREng、autoruns等工具灵活运用。
再说说为什么瑞星听诊器在论坛的出现频率相当低。
在我前面的话里,楼主有没有看出一个微小的,却是足以影响大局的区别?
瑞星听诊器用网页的方式显示日志,在网页中,可以用不同颜色来区别系统和非系统的驱动项和服务项。但是,当求助者把日志粘贴到论坛上时,会细心地再加颜色吗?不会。所以,我们在论坛上看到的瑞星听诊器日志,是“无差别”日志,白底黑字。对于论坛上看日志的初学者来说,这一细微差别足以把他们挡在门外!
这个差别,很惭愧,我是刚刚才发现的,因为我刚刚才下载了瑞星听诊器来看看它的日志是什么样子的。我只能初步确定,服务和驱动项目,是用绿色表示系统的,白色表示非系统的。但是其他的,就不能肯定了,特别是启动项上,一片绿色,明显的无区分。文件关联,以及winsock供应者,也是一片绿色,因为我的电脑里的相应项目的确都是正常的默认值,所以我也不知道是否在这些项目上绿色就代表正常。如果在这些项目上,绿色只不过是“无差别色”,那我又要为初学者们忧心冲冲了,大家如何看出,哪个文件关联或winsock供应者项目是正常的或不正常的?SREng日志有提示,而瑞星听诊器没有?SREng有可以直接修复,而瑞星听诊器可是没有啊……
以上看起来,好像又有点拿SREng跟瑞星听诊器比较的意思了,以上提到的大多数问题,SREng都做得比较好,总体比瑞星听诊器要好一些吧,这也是现在用SREng用得比较多的原因。不过有例外:
1.跟HijackThis比较,SREng和瑞星听诊器的日志从细节上更具体,但是没有包括所有HijackThis能扫出来的项目。
举例,O7项,注册表被禁用,HijackThis显示了而且方便地修复。
O17项,DNS服务器或域劫持,SREng和瑞星听诊器也没有显示。
不过,SREng除了日志中显示的项目之外,在“系统修复”这块还有很多修复功能可以使用,瑞星听诊器,很遗憾地没看到。
O8、O9项,瑞星听诊器没有显示,但是HijackThis和SREng的日志里都有。
2.病毒种族判断,SREng也没加入这个功能,我们也不会无趣到建议smallfrogs加入这个功能,否则,我们就只能准备听到他大笑我们一顿了。
3.SREng的日志,启动项是把注册表路径列出来了,但是服务,驱动,浏览器加载项,还是跟HijackThis的风格一样,是解释性文字而不是注册表路径。这样做的用意,还是方便初学者,这一点在上面已经说得很清楚。至于排列顺序,还是那一句话,到底是他的问题,还是楼主的习惯问题?反正我觉得看瑞星听诊器和看SREng,顺序都不是问题。
说得太长了,扯得太远了,再次回归话题。我要说的是什么呢?是我们和楼主为什么会有认识上的不同。归根结底,非常的正常,在置顶帖我已经提到过了,我那个帖子,不仅仅提到了关于某些QQ群的问题,还有一小段,如果大家没注意,那我不得不厚脸皮地再说一次:
论坛的回帖者应该明白,求助者离我们十万八千里,一般来说,我们不可能跑到人家的面前,手把手地亲自操作人家的电脑。所以,论坛上求助者和回帖者,都应该学习反病毒论坛所具有的特殊的处理问题的方式方法。我们必须借助一些工具,迅速了解求助者的电脑的情况。在给出解决方案时,我们必须有清晰完整的解决问题的思路和过程,并仍然需要教会求助者借助一些好用的工具,用简单的操作来解决他们的问题。自己会做是一回事,如何教会别人也会做是另一回事,特别是当你们之间的交流只能通过文字和图片时。我们的目的,是让网友们做到小毛病自己DIY解决。
如果楼主习惯于自己动手操作别人的电脑(或用远程控制)为别人解决问题,那么我们必须声明,这与论坛上处理问题的定位并不很符合。我们的做法,是在求助者的描述加上日志或者再加上提供病毒样本的辅助下,回帖给出解决办法,并指导求助者通过自己的操作来实践并解决问题。只有亲自动手,才能加深求助者的印象,让他们学到更多的东西,最终实现自己DIY的目标。如果坚持亲手操作或QQ远程,搞完一个是一个,你帮助的人实在太有限了。可是,针对一个典型病毒,写出一个查杀方法,放在论坛上,让大家参考,这样做的话,你亲自接触的人有限,但得到帮助的人却将会是很多很多。这就是论坛的价值。这也是我们和楼主的思维方式不完全一样的一个原因。
这种不同的一个表现在对工具的使用上,我这段话说得很明确了,首先如果能用工具简单地修复解决的问题,为初学者考虑,就不要让人家进注册表了。其次冰刃的确管用,我们也在用,但是我们标着“新手慎用”,为什么?
另外,在置顶帖中“警告”的情况,并不仅仅局限于QQ群,对于个人发布的杀毒广告,在版面管理上,也完全可以按广告帖处理。所以,对于楼主发的另一个帖子(http://forum.ikaka.com/topic.asp?board=28&artid=8223188),不好意思,至少必须锁定了,就不再另行通知了。
另外,希望楼主回帖的时候,不要像“版聊”,像http://forum.ikaka.com/topic.asp?board=28&artid=8222646&page=2里的一些回复内容,在QQ群里的话没问题,但是在论坛上就不好了。
顺带提一下:
5楼魔法提到的,上面我已举例子,修改svchost.exe加载的服务的servicedll的病毒,瑞星听诊器难以判断。
楼主在15楼提到的,就不用“我遇到过”这么隐晦了。从piaoxue劫持开始,利用内核驱动进行浏览器劫持的情况就明显出现,以及Trojan-Downloader.win32.QQHelper.mo(卡巴病毒名)是dll加sys,到了my123.com主页劫持,那就是楼主所说的那种情况了。这种情况,不是HijackThis能处理的,这已经不是日志能不能看到的问题了。这个问题,mj0011有详细的解释,她反汇编了这些dll和sys,并且还出了一些专杀工具。
我也是个大学生,刚刚看到楼主的帖子,兴之所至,用了两个多小时组织起这一串文字,也是希望对楼主,对大家有些启发,并希望楼主能尽快地融入到论坛当中。另外谢谢楼主提醒,要不然,我还真不会发现瑞星听诊器的日志用网页显示和粘贴上论坛上有什么不同呢。不知道楼主几时能看到我的回复,祝学业顺利。
by 轩辕小聪
