病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« PowerTool的简单应用另类的开机报警声 »

PowerTool的详细用法

原作者:钱云飞,原文地址:http://bbs.icpcw.com/thread-2402494-1-1.html。此文与上篇《PowerTool的简单应用》一样是安全工具PowerTool的教程,这一篇说得比较详细,偏重于软件的功能模块介绍。嗯,图多了点,转抄也不容易啊。

同样推荐《XueTr使用教程

*******************************

软件的主界面

PowerTool主界面

1、系统修复

PowerTool系统修复

从截图可以看到这个选项栏的一些功能,都是些基础且无需设置的。一般,这些选项里不会出现挂红的条目,如果出现的话就比较严重。尤其是bioskit,鬼影大家都知道吧。。。。。虽然,初期它还是比较弱小的,被看穿后随便杀杀。。。。。但后期变种还是很牛的。

2、进程

PowerTool进程管理

框一中列举了系统里德进程,包括隐藏的,黑色的表示是系统的,蓝色的是非系统的。红色是危险的,这些可能是挂载驱动有很高权限的软件(如杀软,powertool,病毒) ,还有就是被异常挂载非系统模块的系统进程

框二,如果是正常的系统进程,那就是白板,什么也没。 挂红的系统进程就显示异常挂载的模块,例如:

PowerTool加载模块窗口

我简单的分析下这几个模块。。。。。

PowerTool-加载模块

第一个名字叫fastext1.dll 从文件名的ext1这4个字,我可以看出他是个右击菜单的插件。。。又比如rarext.dll 这个是winrar的右击菜单插件。。。。卸载了就不会出现rar的右击菜单选项
unlockercom.dll 这个比较特别点,文件名不有ext这字,但还是右击菜单的插件。

实际上,explorer被加载的模块大部分是右击菜单的。你可以根据文件名,文件名的一般命名规则,文件路径,文件的版本,厂商信息辨别。

有问题的,直接选中,右击,卸载模块,或者卸载模块并删除相关文件。。。。。。

3、内核模块

PowerTool内核模块

在这里看到的,都是写sys dll 文件,都是些服务或者驱动加载的文件。黑色是系统的。蓝色是非系统的,红色的是高危的。这些东西不能乱动,小心系统报废

4、内核相关

PowerTool内核相关

这些东西不能乱动,一旦出问题,小则系统重启,大则,报废!

5、钩子

PowerTool钩子

什么是钩子? 这个。。。。简单的说,比如用户敲下键盘的字母K,系统就会捕获这个动作,并且发送相关消息到当前程序的输入窗口。 一般情况是这样的,但是病毒使用钩子,挂载到相关函数,那么这个字母K的消息就不是发送到软件了,而是先发送到病毒。 如此,病毒可以截获用户的输入消息,比如账户密码。

度娘的答案:钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。

简单的解释,比如A君和B君,原本A君(目标窗口)买了块西瓜,但是B君(病毒)很坏,串通卖家(挂钩,hook),结果,西瓜被B君拿走了。当然,这只是简单的键盘钩子,还有鼠标钩子,外壳钩子等。。。。

图中是全面挂红啊。。。。。QQ管家不知道挂钩了多少函数。。。。。

6、应用层

PowerTool应用层

这里的东西不解释了吧。什么钩子,映像劫持的。。。。

7、文件

PowerTool文件管理

powertool的文件管理有了驱动的支持后还是很强大的。你可以看到许多数据流,文件有N GB ,不要见怪,这些并不是真的文件,是NTFS文件系统特有的东西。至于什么是数据流。
 度娘吧,这货要讲清楚,今晚的时间是不够的。反正,我没搞明白。度娘的答案就等于没答案。  (风言:你没答案,我有,参见《NTFS流知识》) 

文件流,如下图:

流文件

8、不解释

 这两个东西不解释(超出本文讨论内容了)

PowerTool注册表管理与离线分析
9、启动项

PowerTool启动项管理

黑色系统,蓝色非系统,红色高危。根据文件名,路径,文件厂商应该可以判断的,要么右击菜单里检查下文件的签名。一般这些项目的最后几行是计划任务的,一般可以删除。非系统的都在最上面。

10、网络

PowerTool网络管理

IE相关这个选项里都是IE加载的模块,从文件名就可以判断了,常见的就迅雷的模块。QQ的模块,杀软的网盾,还有flash。 所谓的插件清理就扫描这个东西。隐藏账户一般没什么问题的,有的就删除,顺便说下黑客光顾你电脑,但是,你值得黑客亲自上阵么? 这,一直是个疑问!SPI 度娘给的解释太高级了,看不懂。 反正挂红的删除,一般没什么问题的。服务漏洞的不说了。。。如果这个都不知道,那么鸭梨就。。。太大了。

现在说说它的右击菜单和其他的东西。

集成右击菜单

PowerTool集成右击菜单

如图所示,打钩后就集成于右击菜单,可以暴力删除文件,实测这货很好很强大!但是,运行它必须先运行主程序一次(重启后失效

选择图中的:禁止进程创建等配置打开新窗口

PowerTool配置选项

可以看到很多功能,杀病毒时很有用。 比如禁止创建文件,那么,系统中就不能再创建任何文件,病毒就不能创建副本了;禁止创建新进程,那么病毒的守护进程机制什么的都会失效;禁止创建新线程,可以防止病毒在内存里扩散。

对于不明的文件,一般都可以右击菜单里找到校验数字签名和上传VT检测,这个很实用的说。进程可以结束,结束了也可以禁止重新创建,也可以删除相关文件,进程里加载的模块可卸载可删除。当然也可以度娘。文件管理中可以看到所有的文件,可暴力复制删除,查看占用情况,上传扫描。

OK了,教程到处结束。   


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1278.html

  • 1楼.微笑
  • 还我西瓜 (哈 惭愧 只记住了这个)
  • 2012-8-14 10:35:38  [引用

发表评论(欢迎交流,无须注册 | 如申请友链与本站要求不符,恕不回复,见谅):

验证码

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 收藏文章:
  • 新浪微博:
  • 订阅博客:
  • 腾讯微博:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号