PCHunter_free使用说明模板.docxVIP

PCHunter_free

PCHunter_free手工杀毒工具使用说明

一、判断计算机

一、判断计算机

1、检查计算机是否中毒

2、检查进程的数字签名

3、检查是否有名称异常且无文件厂商信息的驱动

4、SSDT除常见杀毒软件的Hook外没有异常信息

5、如果用户怀疑自己鼠标键盘被人控制（远程RTO除外），检查内核钩子-鼠标-键盘挂钩函数

6、IE怀疑中毒，检查IE插件

7、检查启动项、服务项是否有可疑内容

8、鉴于MBR类病毒隐藏很深，可增加MBR检测

二、进程列表分为七列：

二、进程列表分为七列：

1、映像名称：表示进程名字

2、进程ID：表示进程的Id

3、父进程ID：表示该进程由谁创建

4、映像路径：表示进程路径

5、EPROCESS：表示进程内核对象地址，熟悉点Windows内核的人，可以通过这个地址查看更多的信息，对一般的人，这个地址无视即可

6、应用层访问状态：表示这个进程是否允许其它进程在应用层打开，一般的安全软件为了保护自己，会禁止其它进程打开自己

7、文件厂商：表示进程主文件由那个公司发布的，由于这个文件厂商信息很容易伪造，因

此这个信息在少数情况下可能会是假的

三

三、PCHunter_free颜色说明：

驱动检测到的可疑对象，隐藏服务、进程、被挂钩函数----红色

文件厂商是微软的----黑色

文件厂商非微软的----蓝色

如果您效验了所有签名,对没有签名的模块行---粉红色

进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的----土黄色

四、PCHunter_free功能

1、系统进程

，吐

，吐Q .,c:立

E1心：王o它覆．心卫心Q艾＆

3S.巴｀琶

．上55.五七

三t.心汁亡

mo`z.｀正心

匕己画如·暹又亟

39吐n3t匠｀贮

E3” Q3t亡石亡

？芘

3E-::

dB45印

？注

？趴

日印

gqng4斗g印

1［仑

1丘

1804

l沺

l峦

1生孔

14心3

1邸

1诬

1邸

芍B

勾DE;

签日

L:208LO24L024

丘lg4

斗芍0

L021.

令0

兮0

兮0

迅d

l(I芒斗

印四．

LO2q

L02it

L024

33B

lO2斗

c:＼Vlm/15\3“I:.32\.C:]J伈了如l:.s邸,iStt.c:＼立IIIQ/15长吁lQt，立．立e

D:守工叮了mFil05\[心．．C:守＂尸心Fil＼泣．．．C;＼兀肛印Si.“Et”:31..

C:Wllf.IO月卧＂r吐．．．文＼．

呻1无B氏刃

函l如四邸lEGllC@邸18仄扛0}邸1邮[O

邸1述D迎

竺1幻P心

拒

C:If丑叩对5b”“正心 ．邸1入田邸

C:Wllf.IOIISs了5七七詈32\..C:＼江l!I(J/15\3了5比1淀1,...c:＼立l!lOIIS\5rst心.s:z...c:＼mHI0115\5,st心眉\...

C:＼江肛印5＼二，让血盾父\.

泣，L..t!且氏刃

邸1惩

邸

吐心g il工心

,r

邸lkklB印四1xra郊

血1比D＆凶

C:IJ.-aPT-fi.l.工＼四

C:IUIIIOll5b，让更覆32\

c:＼Vll!I(rII5\5”七仑豐支＼

．邸11:CAillll

.

．

，巴庐i 穴．妳I!:

芒扣如如众．心只比

，芒巨8·｀妇

丹”“`

已 ～加吐·又

邸J.K八

001病q叨C:守＂巳心Fil亡认沁工．．虚10BB印心C:lfIIIIO茫人5吓凶I艾｀I．．．酗1部邸

C:\Vl肛闭5\S吓凶心卧．．．邸18妇叩

n:＼“于P叮，·Fil”

\T皿．

E,:1“11I1)芯＼工”L··笠＼

七更胃买＼．

邸1邸

芦1函

响．I.颓

函

四

即

UL~～;nEtG巧·

归心1亡InE.