PCHu nter_free 手工杀毒工具使用说明 一、判断计算机 1、检查计算机是否中毒 2、检查进程的数字签名 3、检查是否有名称异常且无文件厂商信息的驱动 4、SSDT 除常见杀毒软件的 Hook 外没有异常信息 5、如果用户怀疑自己鼠标键盘被人控制(远程 RTO 除外),检查内核钩子-鼠标-键盘挂钩函数 6、IE 怀疑中毒,检查 IE 插件 7、检查启动项、服务项是否有可疑内容 8、鉴于 MBR 类病毒隐藏很深,可增加 MBR 检测 二、进程列表分为七列: 1、映像名称:表示进程名字 2、进程 ID:表示进程的 Id 3、父进程 ID:表示该进程由谁创建 4、映像路径:表示进程路径 5、EPROCESS:表示进程内核对象地址,熟悉点 Window s 内核的人,可以通过这个地址查看更多的信息,对一般的人,这个地址无视即可 6、应用层访问状态:表示这个进程是否允许其它进程在应用层打开,一般的安全软件为了保护自己,会禁止其它进程打开自己 7、文件厂商:表示进程主文件由那个公司发布的,由于这个文件厂商信息很容易伪造,因此这个信息在少数情况下可能会是假的 三、PCHunter_free 颜色说明: 1.驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数 ----> 红色 2.文件厂商是微软的 ----> 黑色 3.文件厂商非微软的 ----> 蓝色 4.如果您效验了所有签名,对没有签名的模块行 ---> 粉红色 5.进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的 ----> 土黄色 四、PCHunter_free功能 1 、系统进程 2、内核对像劫持 3、网络 IE 插件 IE 右键菜单 Host文件 4 、注册表 5 、文件管理 6 、系统启动项 7 、系统服务 8 、系统杂项--文件关联 系统杂项--映像劫持 系统杂项--输入法 系统杂项--防火墙规则 系统杂项--杂项 本工具配置
