危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787988

照妖镜追捕恶意来客!

时下各种病毒、木马、黑客程序、蠕虫等恶意程序呈现泛滥趋势,恶意程序侵入系统的花样不断翻新,严重威胁着Windows系统的安全。恶意程序潜入系统后,首先会千方百计的将自身隐藏起来,从而避免暴其行踪,之后才开始在系统中兴风作浪。因此,在清除潜伏在系统中的恶意程序的前提是准确发现其藏身之处。一般来说,恶意程序都喜欢将伪装成正常的进程、自身注入到正常进程中、或者伪装成系统服务,来逃过用户的追踪。使用DarkPartical这款独特的绿色安全软件,就可以让您对进程和系统的服务变动情况了如指掌,通过智能化的对比操作,来轻松揪出隐藏很深的害群之马。

在DarkPartical主窗口的“管理进程”面板中显示当前的所有进程信息,DarkPartical可以对所有的进程信息进行分析比较,并采用不同的颜色表示进程的安全等级,例如使用绿色表示未知进程,红色表示危险进程等,让您对当前进程的状态一目了然。对于选中的进程项目,在窗口右侧的显示其说明信息,对于来历不明的进程,点击“查询Online”按钮,可以在线查询其状态。对于可疑的进程,在将其选中(支持多选)后,点击“删除文件”按钮,可以在结束所有选中的进程后,再将其对应的文件删除。

DarkPartical最实用的功能是“导入列表”和“导出列表”功能,在系统处于安全的状态下点击“导出列表”按钮,将当前进程以及相应的模块导出为独立的文件。当以后系统出现问题后,点击“导入列表”按钮,导入先前保存的进程信息文件后,在弹出的窗口中非常直观的显示两者的对比分析信息,在窗口底部依次显示先前进程列表多出的进程信息(在进程列表中以红色标识),当前进程缺少的进程信息,名称相同但是对应的命令行不同的信息(在进程列表中以黄色标识)等。除了对比进程之外,还可以对比其中包含的模块信息,在“选定项与执行PID相比较”栏中输入对应的PID号(两者应该相同,也可以手工设定),点击“立即比较”按钮,即可在窗口底部显示该进程中多出的模块、缺少的模块、以及名称相同但是路径不同的模块,并在窗口右侧的模块列表中以不同的颜色显示模块的异同。这样,不管是伪装成正常的进程,还是注入到正常进程中的恶意程序,其行踪立刻就暴露出来了。

在DarkPartical主窗口中打开“服务管理”面板,在其中显示当前所有系统服务信息。DarkPartic al同样以不同的颜色来标识服务的安全等级,颜色标识与上述完全相同。利用服务面板的右键菜单,可以实现刷新、查看Win32服务、内核驱动服务、隐藏已知微软服务、停止选定的服务、修改服务类型、删除选定服务等操作。

其中最实用的是服务比较功能,在系统处于正常状态,在服务列表的右键菜单中点击“导出列表”项,将其导出为独立的文件。当系统出现问题时,在服务列表的右键菜单中点击“导入列表”项,选中先前保存的服务信息文件,在服务比较窗口中可以清晰的显示两者的异同,在窗口的底部显示多出的服务、缺少的服务、名称相同但是启动命令不同的服务、显示名称不同的服务、当前状态不同的服务、启动类型不同的服务等信息,同时在服务列表中以不同的颜色加以区分,让您可以轻松的发现潜伏在服务中的恶意程序。

相关推荐