原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
天琊使用说明
“天琊”是一款集进程、文件、SSDT服务表、ShadowSSDT服务表、内核模块
察看、FSD修复、端口管理、文件关联修复、IE浏览器加载项编辑、映像劫持修复、
InlineHook扫描、安全表、箱、常见后门程序防范,以及主动防御于一身的
强大安全反木马辅助工具。
“天琊”是手动清除木马的利刃。它的主要特点有:
1.强大的反隐藏功能(进程隐藏、文件隐藏、表隐藏等)使木马在“天
琊”面前无所遁形。
2.强大的自我保护功能,确保自身遇到的木马时不受任何影响。
3.强大的进程结束能力。不管有多么厉害的木马,在“天琊”面前就象蚂蚁
遇到巨人一样,天琊的结束进程能力非常之强悍,可称的上是目前所有进程类
软件中最强的。“天琊”提供了多种结束进程的方式,方便对付各种木马
(稍候详细介绍)。
现在分类说明“天琊”的功能。
(一)进程管理
“天琊进程”管理提供了目前最详细的进程信息和进程管理功能。
图1-1
(1)状态:主要用于标识进程状态,有以下分类:
1.正常
2.隐藏(表明进程已经被隐藏,使用常规的任务管理器无法察看到)
3.保护(“天琊”提供保护其它进程的功能,被保护的进程不能被其他任务
管理器终止,当“主动防御”开启的情况下,也就是说开启了“箱”,
这时其他程序无法被保护进程的内存和窗口信息,从而达到保护用户
隐私信息的目的。)
4.(按“特征”方式结束的进程就会自动添加到列表中,此类程序
在“天琊”开启的情况下是无法启动起来的,是对付多个进程守护类
非常好的)。
(2)映像名:进程的名字。
(3)PID:进程的标识符,正常情况下是唯一的,是用于表示进程唯一的象征。
但是有些RootKit程序会更改此PID达到保护和隐藏自己,“天琊”能轻松
地检测到此类程序,并在“状态”栏有相应的标识。
(4)
(5)用户名:表示进程的权限,表示了程序运行在哪个用户上。此项也可以察看
一些成系统同名的木马,当我们察看到一些进程名称和系统进程
同名但是进程用户又不是System用户时,我们就需要注意了,再通过“父
PID”就可以大致判断此进程是否为程序了。
(6)EPROCESS:一般用户可以忽略,程序自用。
(7)进程路径:进程对应的文件路径,此项可以排查一些系统进程的程序,
从而使系统进程的木马无所遁形。“天琊”在获取进程路径上可信
度是非常之高的,程序完全从内核方式,用户可以放心察看。
(二)检测隐藏进程功能
马进程无所遁形!
图2-1
(1)“枚举进程方式1”,这是常规方式,程序直接从内核里通过枚举
SessionProcessLinks链表而实现。此种方式枚举的进程有个很大的优点,
文档评论(0)