天意 发表于 2012-11-4 11:45:26

天意使用教程——全面超越冰刃的安全辅助工具XueTr

该软件位于天意u盘维护系统TYPE.ISZ文件,“外置程序——系统维护——扫描修复”文件夹内。

辅助手工杀毒的工具比较多,比较火的是冰刃、wsyscheck、XueTr等,这三款工具都是windows系统中功能强大的手工杀毒利器,其中冰刃的诞生时间最长, XueTr属于相对后起之秀,但是它的功能已经全面超越冰刃了。

XueTr是一个强大的手工杀毒工具,目前暂时只支持32位的2000、xp、2003、vista、2008和Win7操作系统。
作者表示“等忙完这阵,会购买微软的数字签名以开发支持64位和Windows8的XueTr”。

本工具目前实现如下功能:
1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看,目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
17.WorkerThread枚举

天意 发表于 2012-11-4 11:45:39

转载自 Storm_Center  原文地址:http://www.stormcn.cn/post/975.html
本人做了一些修改和实机测试。
工具初次打开后就会立刻显示出系统里目前存在的所有进程。

这个进程列表有 7 个栏目查看,分别为:1、映像名称:进程名字
2、进程ID:进程的Id号码
3、父进程ID:说明该进程由谁创建启动的
4、映像路径:进程文件的具体位置
5、EPROCESS:进程在系统内核的地址,熟悉点Windows内核的人,可以通过这个地址查看更多的信息,但我们的教程是面向新人的,所以可以不在意这些信息,也不影响平时使用
6、应用层访问状态:说明这个进程是否允许其它进程对自己操作,比如关闭自己,一般的杀毒软件有自我保护,会禁止其它进程对自己有任何操作
7、文件厂商:显示进程文件由那个公司出品,可以了解下该程序的出处背景,不过要知道这个文件厂商信息很容易伪造,所以只能做个参考而已不可全信
  除了这些项目,大家应该可以发现上图中我的进程项目都是用黑色和蓝色来表现的,这里不同的颜色就代表不同的意义
黑色—表示这个进程的主文件是微软的,比较安全
蓝色—这个进程文件不是微软出品的,可能是其他的公司或个人制作,安全性有待考证
粉红—也是安全有待考证,说明这个进程中还包含了其它文件,比如有些DLL文件插入到本进程里,而这些文件没有签名,默认情况下软件不会显示粉色,需要我们右击任意进程,选择校验所有签名才行

而如果我们选择一个微软的进程,然后它所包含的模块文件里有些文件是非微软公司出品的,就会用黄色显示出来
红色—比较危险了,说明进程是隐藏的或者有其它反常表现
(注,开发者的颜色说明:
1.驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数 ----> 红色
2.文件厂商是微软的 ----> 黑色
3.文件厂商非微软的 ----> 蓝色
4.如果您效验了所有签名,对没有签名的模块行 ---> 粉红色
5.进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的 ----> 土黄色)
  进程的检测是对病毒查杀的第一步了,这款工具对于检测到的进程操控能力很强,右击进程可以在弹出的菜单里做出各个需要的操作,相信这些文字大家都看的懂


我们选择些比较实用的说下。很多病毒木马会进入到正常进程内部,起到隐藏和保护自己的目的,所以查看每个进程里包含的文件就很重要了,右击任意进程选择在下方显示模块窗口就可以了,这是后单击某个进程就可以在下方窗口显示出进程里面包含的所有文件了。




不过默认中显示的并不完全,右击选择显示所有模块可以查看到那些微软出品的,软件自认为是安全的模块文件





这时候细心的网友会注意到软件最下方一栏显示的信息。
这栏相当于对当前情况的一个汇总,意思是系统里面一共有21个进程,隐藏的危险进程没有,有2个进程自我保护不能轻易被其它程序关闭或控制。
  当前我选择的进程名字是explorer.exe,里面有102个模块文件,其中有2个不是微软出品的。一个进程中包含了而很多模块文件是很正常的事,如果要想辨别出病毒程序就比较麻烦了,需要一定的系统知识和了解。



天意 发表于 2012-11-4 11:45:43

假如我们判定某一个模块文件为恶意程序,可以右击它选择卸载模块、全局卸载、删除三种方式。


分别代表将这个模块文件从改进程里除掉、将这个模块文件从所有进程里除掉、直接删除了这个文件(如果认定是病毒木马就可以采取后两个措施),不过实际操作中需要判断准确,因为如果错误卸载了正常安全的模块可能会引起系统崩溃,死机等等。而右击模块文件弹出的菜单里校验数字签名、查看模块文件属性等等都有助于判断。


不过仅供参考而已,不能作为唯一标准

  当然有时候杀毒软件会给出警报提示有某个文件是病毒,但是又无法清除,这很可能因为病毒文件插入到了其他进程之中,既然已经知道了文件名字那么要查出在哪个进程中就比较好办了,不需要一个个进程慢慢看,只需要右击选择在”进程中查找模块”,然后输入文件完整名字即可,找到了隐蔽之所那么就能右击来选择你所需要的操作搞定了。




天意 发表于 2012-11-4 11:58:28

上面大概的介绍了下xuetr在进程管理方面主要用到的功能,而那些卸载模块、删除模块、结束进程、结束进程删除文件等等力度都十分强大,对于很多具备自我保护的杀毒软件和顽固难缠病毒都可以轻松结束和删除。当然光光操作进程也不够的我们一起认识下另外一些功能。

驱动模块



这些以sys、dll结尾的文件虽然不能像exe程序那样直接双击运行,但是它们的破坏力确实相当强悍,它们比一般的exe程序拥有更高的权限更容易接触系统核心,这些文件都以系统服务或者驱动的形式运行着,在进程管理查看工具里是看不到了。
 默认情况下显示的都是已经启动的驱动,但是不代表系统中就这些,还有些没有运行的驱动如果想看到就需要右击将“仅显示已加载驱动”取消了。

去掉“仅显示已加载驱动”勾选后,我们可以看到显示的驱动从110变成了175。

驱动文件要想从名字上来识别是否正常可比进程辨别难多了,所以右键菜单还提供了在线搜索驱动名和在线分析两项。在线搜索就是打开google网页搜索该文件名字。

而在线分析则打开著名的多引擎扫描网站,由网友们自己上传这个文件让37款杀毒软件扫描检测下。


网友们可以根据这两种在线分析判断下驱动是否正常,对于恶意文件也可以右击采取删除操作。

天意 发表于 2012-11-4 11:58:31

好了,下面是几个比较高深的技术,新人目前还不是和理解,所以我们简单概括下:内核

这里会显示一些驱动文件的具体位置,出处和在系统核心中地址等等,对于一些没有厂商出处的需要注意下。过滤驱动大多运用在安全软件上面,顾名思义就是过滤电脑中或网络上传输来的数据,筛选出有害的给出警报,比如文件过滤驱动可以监控文件操作等,键盘过滤驱动可以监控键盘的一些操作(这样可以实现一些快捷键效果,也有一些病毒木马利用这个来记录键盘输入)。
对象劫持的一些说明:可以理解成系统中的一些文件被替换。如果您的系统出现一些劫持情况,也不必惊慌,这可能是正常现象,因为有些安装有些杀毒软件会出现这个情况。
如果您那里出现“内核模块文件被替换,可能是驱动程序升级后未重启电脑导致的,也可能是被病毒劫持了”,很可能是Window打补丁或者一些有在线升级功能的程序升级驱动模块后未重启电脑导致的,当然有些病毒也会替换系统里的一些正常驱动(比如beep.sys等)来实现驱动加载,遇到这个情况需要您仔细辨认。
  如果出现“\Device\KeyboardClassX的下层设备/驱动被劫持”则表示键盘相关操作可能被劫持,要注意下机器上是否安装有键盘记录器等。(注,不是所有的键盘记录行为都是病毒木马,一些安全控件也有可能有此类行为,如卡巴斯基提示PDM.Keylogger,则可能是支付宝控件)
  如果出现“进程对象被隐藏或者篡改”则表示有进程对象被恶意篡改等。
  DPC定时器大致作用:目前有不少正常程序和rootkit会利用DPC定时器反复检查自身的Hook是否被恢复。
  GDT:CPU内核模式下的一种很抽象术语,还没想到什么通俗易懂解释,不过和前面的进程查看一样,如果是红色的需要警惕了。

内核钩子
  简单地说就是拦截各种系统命令的动作,比如我们右击删除一个文件,那么就会给系统发出一个“我要删除这个文件”的命令。收到后windows再转给系统中专门负责删除职能的那个人,由他去具体执行,而如果病毒采用了钩子,则会监视这些操作,将所有命令先经过自己手。如果发现删除命令的对象是自己,那么就把这个命令抛弃掉,如果是其他的就继续交给那个人来执行。就有点类似于奸臣扣留所有对自己不利的奏章,欺上瞒下那种。不过并不是所有钩子都是病毒的杰作,安全软件基本都有的,如何辨别就需要对文件名字有一定了解或上网搜索下。


应用层钩子意思也差不多,不过级别没有内核高

天意 发表于 2012-11-4 12:07:27

网络项目对于新手来说还比较好用,可以知道哪些进程有联网行为,不过美中不足的是似乎不能在这里结束进程

这里的连接状态大多时候分为
LISTEN:正在监听中,随时准备连接某一个目标
SYN_SENT:客户端通过应用程序调用connect进行active open,于是客户端tcp发送一个SYN以请求建立一个连接,之后状态置为SYN_SENT
SYN_RECV:服务端应发出ACK确认客户端的 SYN,同时自己向客户端发送一个SYN,之后状态置为SYN_RECV
ESTABLISHED:代表一个打开的连接,双方可以进行或已经在数据交互了
CLOSE_WAIT:连接正在准备跟对方断开
TIME_WAIT:表示系统在等待对方的相应,让对方回复到底连还是不连
CLOSING:比较少见
CLOSED:连接被关闭

TCPIP部分功能默认显示所有和网络连接相关函数

浏览器的插件,很多软件安装完毕或者流氓软件都会在浏览器里驻足,过多的插件会给浏览器带来不稳定

浏览器右键菜单内容显示,和很多清理工具差不多。

SPI简单地说就是现实计算机目前所有的硬件接口和设备,右击有一个恢复lsp的选项,而这个LSP即分层服务提供商,再好的方面可以被利用编写网络监控软件,坏的方面会被木马软件利用劫持浏览器,有时候清除了病毒木马但还是无法连接网络也可能和没有恢复 lsp有关。

 Hosts文件,可能不少人都知道了。修改里面的内容会屏蔽一些网站,比如我们将论坛的网址转到127.0.0.1这个ip上面,但是论坛服务器的ip明显不是这个,所以打开论坛就会失败,出现无法访问的现象,当然只对本机有效。




天意 发表于 2012-11-4 13:34:17

注册表:如果病毒禁止你使用注册表那么就可以到这里来操作,注册表里包含了而系统基本所有的设置,有关修改注册表来实现一些系统和软件设置更改的教程可以写厚厚一本书,我们这里就不多说了,大家可以自己搜索些注册表技巧看看。
注册表界面最下方有一个快捷定位栏,快捷定位栏里您也可以输入自己想查看的注册表路径。


文件管理器:这在小菜们手工杀毒方面也是非常重要必备的,这里可以像在我的电脑或者资源管理器那样操作文件,不过他更加强大实用,可以查看此盘里面所有的文件和文件夹,不管是否被隐藏,右击某个文件弹出的菜单也非常强大,一些正常情况下不能被删除修改的文件在这里都能轻松被消灭。
界面最下方有一个快捷定位栏,快捷定位栏里您也可以输入自己想查看的文件路径


这里可能会有一些红色显示的文件,不一定都是危害,因为对于隐藏的文件都会用红色显示,而windows系统里有大量自带的文件和文件夹默认状态下都是被隐藏的。
右键菜单的第二个选项“查看锁定情况”有些网友可能比较陌生,一般无法访问或操作某个文件时,您可以用本功能看看这个文件被那些程序占用了,解锁后一般就可以访问或操作这个文件了。

而删除不了的文件可以试试强制删除或者添加到重启删除,当然对于一些比较顽固难产的病毒文件为了彻底杀灭可以用删除后组织文件再生或者重启替换为...来防止它死灰复燃


当然,我们还可以进行其他操作,比如修改文件属性或者计算文件MD5值等。
同时,我们还可以搜索文件。这里的搜索功能比windows自带的强大很多,供选择的条件比较丰富。






天意 发表于 2012-11-4 13:34:22

启动项:
作为手工杀毒利器,病毒木马最喜欢的开机自动运行也被分析的很干净。一般的清理软件看不到的启动项,这里都可以看到。

这里分别显示了一些会自动运行的程序位置名称,等等,第二项的类型则是启动的方式,有注册表启动,也有在启动文件夹里实现开机启动的,等等。和前面查看进程一样,黑色是被认为安全的微软公司出品文件,蓝色则是其他软件公司或个人的作品。

服务:
服务栏目里列举了本机所有的服务项目,这些也都是会开机自动启动的。


当然我们早就说过病毒木马的启动并非一定要在这些位置,它们也会在后期让用户在不经意间运行病毒,比如下面的系统杂项,就包含了一些可能被篡改的内容。比如文件关联,指定了某一种格式的文件应该如何被打开,红色的是工具所不认识的方式,但也未必就是错误有害的,及时修复也可以。


映像劫持本身是Windows支持调试的一种机制,通过指定进程名和"Debugger"可以使指定文件名进程启动时被调试器截获,然后将路径作为参数启动调试器。现在某些检测工具将IFEO键的所有内容都当成映像劫持,导致与XueTr检测结果区别很大。这是不科学的,全部删除可能导致系统稳定性受影响。
另外,某些木马会尝试利用驱动或者使用特殊注册表键结构来全局隐藏劫持项。这样,由于系统检测不到存在劫持项,也会导致映像劫持本身的失效。对这类“伪劫持”,XueTr不会提示。
映像劫持的作用,举例来说明:比如有一个名称为AVP.EXE劫持路径为c:\a.exe的映像劫持项,如果不把这项删除,以后我们运行AVP.EXE(卡巴斯基杀毒软件名)的时候,AVP.EXE不会运行,而是运行c:\a.exe这样程序,因此现在不少病毒利用映像劫持来让杀毒软件失效。


IME是输入法的意思,表示您的系统中安装了那些输入法,输入法之间一般通过快捷键切换,有些病毒会把自己注册成一种输入法,当用户通过快捷键切换输入法的时候,就有可能把病毒激活。

系统防火墙规则这个功能展示Windows自带防火墙的过滤规则,状态栏中的Enabled表示允许联网规则,Disable表示禁止联网规则。要访问网络的程序很多都会把自己添加到这里来,这样这些程序联网的时候,系统防火墙就不会报警,而是直接放行,但是现在也有少数病毒为了顺利连接外网,也会把自己添加到系统防火墙规则里。

杂项:
里面是一些修复功能,可以用于杀毒完毕的善后或者被病毒破坏了一些设置的修复。
有些病毒运行后,会通过设置注册表来禁止一些程序的运行(任务管理器等),通过这里的解锁一般可以搞定这些锁定。
MBR Rootkit检测部分主要是用来检测一些通过MBR启动的Rootkit病毒。另外本部分还提供了MBR和BootSector的备份和重置功能,强烈建议您在恢复MBR和BootSector前一定要先备份,恢复MBR和BootSector是一个相当危险的操作,稍有不慎就可能导致系统无法启动。
本部分还提供一个修复安全模式功能,当您无法进入安全模式时(很多病毒会破坏安全模式)可以用这个功能修复之。

天意 发表于 2012-11-4 13:42:00

电脑体检:

最新版增加了体检功能,可以根据你的选择对电脑进行全面深入的一次检查并生成体检报告。

配置:
本部分提供一些辅助杀毒功能,禁止创建进程、禁止创建文件、禁止创建注册表等功能在杀毒的时候十分适用,可以十分有效地限制病毒行为,让你手工杀毒更快捷。
“禁止重置注册表”功能只有在勾选了“禁止创建注册表项(值)”后才有效,可以阻止注册表被改写。
“更为暴力的强制重启”相当于按下电源重启,请谨慎使用。


火眼:
由金山网络出品的在线病毒检测网站,类似于Comodo的在线沙箱,可以精准的分析出恶意程序的行为。


关于:
显示的是作者及软件的相关信息。


天意 发表于 2012-11-4 14:48:10

官方教程:
http://pan.baidu.com/share/link?shareid=108080&uk=3811111260
页: [1] 2
查看完整版本: 天意使用教程——全面超越冰刃的安全辅助工具XueTr