记得在某篇文章中看到作者在介绍ARK工具时提到了XueTr,于是我就从网上下载了一个来试用,结果发现它的功能非常强大,在手工查杀病毒和检查系统安全状态时可以帮上我们的大忙,是一款非常不错的安全辅助工具。
XueTr是linxer编写的一款工作在系统底层的安全辅助工具,它支持最新的Windows7操作系统。由于软件的功能实在太多,不可能为大家一一详细介绍,因此我主要挑选几个大家在手工查杀病毒和维护系统安全时非常有用的功能来进行介绍。
一、进程管理
进程管理是安全辅助工具一个非常重要的功能,我们经常通过查看进程信息来判断系统是否中了木马和病毒等。双击运行XueTr.exe,最上方的一排是软件的功能菜单。大家有没有遇到过这样的苦恼:发现了一个病毒的进程,但使用系统自带的任务管理器却结束不了;有的木马或病毒的进程是隐藏的,使用系统自带的任务管理器根本就看不到进程。对于这些问题,XueTr都可以轻松解决,由于XueTr采用了很多内核技术,工作在ring0层,拥有更高的权限,因此可以结束很多顽固的进程,还可以检测出隐藏进程,让隐藏的进程在XueTr下无处遁形。
软件打开后默认显示的就是进程管理界面,如果有隐藏进程的话会在软件下面提示。在这里我们可以看到进程的映像名称、进程ID、父进程ID、映像路径、文件厂商等基本信息,在任一进程上单击鼠标右键,就会看到操作菜单,允许我们执行的操作非常多,单单对一条进程就有查看进程模块、线程、进程句柄、进程窗口、进程内存,“在进程中查找模块”、“在进程中查找没有数字签名模块”、“强制结束进程”、“结束进程并删除文件”、“校验数字签名”、“暂停进程运行/恢复进程运行”、“复制进程名”、“复制进程路径”、“在线搜索进程名”、“在线分析”、“定位到进程文件”、“查看进程文件属性”、“定位到XT文件管理器”等23项功能。
我们选择“在下方显示模块窗口”后就会像Wsyscheck那样,在软件下面出现一个模块显示窗口,点击一个进程后在模块显示窗口中就会自动显示出这个进程所加载的模块信息,通过查看进程的模块信息就可以发现注人进程的木马了。“强制结束进程”可以结束掉那些不容易被结束的病毒进程,“校验数字签名”则可以检测文件是否被修改过。选择“在线分析”后就会打开在线病毒扫描网站,然后我们就可以把认为可疑的文件提到给网站,网站就会利用几十款杀毒软件对提交的文件进行扫描。
二、内核模块
选择“内核模块”选项,就会列出系统中所有已经加载的模块信息(一般都是驱动文件),微软的模块是以黑色字体显示,非微软的模块是以蓝色字体显示,这样非常容易找出可疑的模块。很多木马都会添加内核模块,在“内核模块”中找到木马的模块后点击右键,然后选择“删除驱动(文件)“就可以把木马的驱动文件删除了。
三、网络查看和管理
我们选择“网络”选项后,默认打开的是“端口”子选项信息,在这儿显示了当前的网络连接情况,如果发现自己的电脑在没有进行网络访问的情况下却奠名其妙的连接到了一个地址那可就要注意了。
在这里不仅能显示普通的网络连接,一些木马的隐藏网络连接也同样躲不过XueTr,大家都知道PcShare有驱动隐藏功能,就是在配置服务端程序时选择“驱动隐藏”选项,这样即使服务端在你的电脑上运行了,通过“netstat-an”命令也查看不到连接,因为PcShare通过驱动把网络连接给隐藏了,但在XueTr中我们却可以清楚的看到网络连接。
我们再来看“IE插件”子选项,这里会显示当前的IE插件,通过右键菜单中的功能可以删除不想要的插件,还可以删除注册表中的相应键值。如果你的IE右键菜单中有一些不想要的、多余的选项,还可以通过“IE右键菜单”子选项进行删除。而“Host文件”子选项则显示了你系统中的Host文件的内容,我们可以直接编辑修改文件的内容,编辑好后点“保存”就会保存所做的修改了。
四、注册表
选择“注册表”选项就会打开一个注册表编辑器,有点儿像系统中自带的注册表编辑器。我们在使用XueTr的注册表编辑器时不会出现“权限不够”的问题,但也不要因此就随便修改注册表,伤及无辜那可就不好了。
五、文件管理
文件管理也是安全辅助软件的一个非常主要的功能,删除病毒和木马的文件就全靠它了。选择“文件”选项后就打开了XueTr的文件管理器,所有的隐藏文件、系统文件都会在XueTr的文件管理器中显示出来,选中一个文件后点击右键,就会弹出功能菜单。
“强制删除”可以删除正在运行的文件,特别适合用来删除正在运行的病毒和木马文件:“删除后阻止文件再生”可以删除那些守护进程发现文件被删除后就会自动重生文件的病毒和木马。对于特别难以删除的文件,我们还可以选择“添加到重启删除”,让系统在重新启动时删除指定的文件。
六、启动项管理
选择“启动项”就打开了启动项管理界面,在这里列出了系统中的启动项,如果发现木马或病毒的启动项后可以通过右键菜单中的“删除(启动信息)”或“删除(启动信息和文件)”来进行删除。
七、服务管理
选择“服务”选项就会列出系统中的所有服务信息,我们可以对服务进行启动、停止、暂停、恢复、重新启动、删除等操作,还可以设置服务的启动类型(自动、手动、禁用),另外也可以把服务定位到注册表中。
八、系统杂项
“系统杂项”包括了“文件关联”和“映像劫持”两个子功能选项,“文件关联”会列出系统中的文件关联信息,如果发现了不正常的文件关联,我们可以选择右键菜单中的“修复”来进行修复。“映像劫持”会查看系统中是否存在被映像劫持的文件,发现后可以在这里直接删除掉,我的系统中没有被映像劫持的文件,所以劫持数量为0。
九、本工具配置
在这里可以对XueTr进行一些配置,设置一些功能选项,XueTr提供了很多功能选项,比如选中“禁止进程创建”,就可以阻止病毒或木马被杀后的进程再生:选中“禁止加载模块”,就可以阻止病毒或木马模块的加载。
XueTr的功能实在太多,本文我只是简单的介绍了一下在维护系统安全方面比较有用的功能而已,其它一些比较实用的功能都没有介绍到,就交给大家去使用和发现了。总的来说,XueTr是一款非常不错的安全辅助工具,在功能上足以和兵刃、wSyscheck相媲美,另外它还支持最新的Windows7操作系统,可以说是我们手工查杀病毒、维护系统安全的一个得力助手。