SnipeSword(狙剑(jiàn))是国内推出(chū)的一款(kuǎn)功能强大的安全反黑工具,它(tā)提供(gòng)系统监视、进程(chéng)管理、磁盘文件管理、注册表检查、内核检查等功能。并且程序自带(dài)了很多系统监视功(gōng)能(néng),可(kě)以防止恶意软件对文件及(jí)注册表的(de)修改(gǎi),从而方便地手工查杀(shā)木(mù)马(mǎ),是目前少数能与IceSword(冰刃)抗衡(héng)的反黑工具之一。其追求的目标是:“尽力让您看(kàn)到您想看到(dào)的任何东西,包括被木(mù)马刻意隐藏的;努(nǔ)力让您能(néng)清掉您想清掉(diào)的任何东西,包(bāo)括被木马恶意保护的(de)。
精简模式
当运行“狙剑”后,程序会(huì)自动(dòng)缩小到系统栏中(zhōng),双击图(tú)标可以展开(kāi)软件的精简模式。精(jīng)简(jiǎn)模式包括进程管理、自启(qǐ)动程序管理等一些主要的安全功能。对不熟悉系统(tǒng)内部操(cāo)作的用户(hù)来说(shuō),只需(xū)单击相应的(de)功能按钮就可以完成(chéng)所需要的(de)操作。比如单击“进程(chéng)”标签可以查看当前(qián)系统的进程信息(xī),包括那些在(zài)任(rèn)务管(guǎn)理器中(zhōng)查(chá)看不(bú)到(dào)的隐藏进程;单(dān)击“主动防御”功能可以有效阻止恶意程序的激活。主动(dòng)防御的相关规则包括程序运行控制、钩子安装控制、程序(xù)写入控制、进(jìn)程(chéng)注入控(kòng)制等。恶意程序做任(rèn)何规(guī)则禁止的(de)操作,程序都会进行拦截并提示用(yòng)户注意。
专(zhuān)业模式
精简(jiǎn)模(mó)式操作虽然可以帮助用(yòng)户解(jiě)决大(dà)部分(fèn)常见问题,但如果遇到某些棘手问题,专业模式更胜一筹。
单击精简模式(shì)窗口中的“进入专业模式”命令(lìng)进入专(zhuān)业模式,它的操作模式和冰刃有几分相(xiàng)似(sì)。
查(chá)杀木马(mǎ)
以下(xià)以查杀PcShare木马为例,阐述“狙(jū)剑”的使(shǐ)用方法(fǎ)。
PcShare木马采(cǎi)用反(fǎn)弹连接技术、HTTP隧道(dào)技(jì)术等,而且还(hái)使用了驱动(dòng)隐藏模块,这样就可以更方便(biàn)地隐藏和保(bǎo)护(hù)服务端程(chéng)序。[2]
首(shǒu)先查找PcShare木马的进程,因为无论是木马程序还(hái)是流氓病毒,只要查找到启动项和相关(guān)进程等信息,就可以清除恶意程序(xù)的相关内容。
在“狙剑”窗口中(zhōng),单击“内核(hé)”下的“进(jìn)程(chéng)管理”命令,在进程列表中查看当前系(xì)统中的所(suǒ)有进(jìn)程,包(bāo)括那(nà)些被隐藏的木马服务端(duān)程序的进程。
单击“注册表”下的“自启动程序”命令,可(kě)以看到利(lì)用注(zhù)册表(biǎo)、系统服务等多种方(fāng)式启动(dòng)的(de)所有信息。启动(dòng)列(liè)表里有两个可疑的启动项,其中一个启动项关联的是驱(qū)动隐藏(cáng)模(mó)块,而另一个就是利用(yòng)svchost.exe进程启动(dòng)的可(kě)疑模块。清除起来很简(jiǎn)单(dān),在(zài)进(jìn)程(chéng)列表中找到“zbrmhjpa.dll”模块后,单击(jī)鼠标(biāo)右键中的“卸载并(bìng)删除”命令即可。另外在自启(qǐ)动列表中找到“zbrmhjpa”这项内容,同样(yàng)单击鼠标右键(jiàn)中的“清除(chú)的时候删除文件”命令,这样就可以彻底清除该(gāi)木马程序了。
自动修复
专业模式中的修复功能(néng)更加(jiā)强大,“狙剑”自带的系统终极修复功能可以将系统还(hái)原到(dào)初(chū)装(zhuāng)状态,也就是刚安装完Windows系统后的状态。当修复后第一次重新启动时(shí),硬件驱动还未安装,修复完成后可(kě)能(néng)会出现桌面空白、较低的屏幕分辨率等(děng)状(zhuàng)态,此修复(fù)并(bìng)不会(huì)删除系统(tǒng)中的(de)任何文(wén)件。因(yīn)为安装的驱动程序其实(shí)都还在,只是系统暂时还不能装载而已,在大(dà)多(duō)数情况下(xià)只需要再重启一次(cì),Windows系统就会自动将(jiāng)已(yǐ)经安装的(de)驱动(dòng)进(jìn)行重(chóng)新注册。
此功能的意义不言(yán)而喻,因为无论系(xì)统中(zhōng)了(le)何种木马程序,都(dōu)将(jiāng)在重启后变成一堆废物。它(tā)们的各种(zhǒng)隐藏与保护手段都将失效,这时只需再用“狙剑”的文件验(yàn)证功能对可(kě)疑文件进行筛选删除即可。但要特别注意,要防止被(bèi)病(bìng)毒木马二次感染,系统修(xiū)复并不会删除文件,在打开磁盘分区(qū)时一(yī)定要注意里面的(de) AutoRun.inf文件(可以右(yòu)击“我的电脑”,选择“资源管理器”以绕过AutoRun.inf的执行)。如果(guǒ)整(zhěng)个磁盘文件已被全部感染的话,该功(gōng)能就无能为力了。
注册(cè)表操作(zuò)
和其它安全(quán)工具一样,“狙剑”中也有一个注册表编辑(jí)器(qì),这个编辑器是直(zhí)接解析HIVE文件来实现注册表数(shù)据(jù)的读取与修改(gǎi)的,这相对于注册表来说已经是最底层(céng)的操作了,可以对(duì)最隐蔽的启动项进行查看(kàn)与清除,同时也可以在恶意程序屏蔽注(zhù)册表时进(jìn)行操作。
文(wén)件管理(lǐ)
文件管理同样(yàng)是安全检测的重点(diǎn)内容,选择需要查看(kàn)的磁盘分区,对该分区的文件信息进行(háng)安(ān)全扫描,扫(sǎo)描结束后显示该分区的文件信息。程序(xù)自动(dòng)统计(jì)出该磁盘中的文件(jiàn)数目,包括已有(yǒu)的和已经删除的文(wén)件和文件(jiàn)夹数目。通过右(yòu)键菜单中的复制文件、破坏文件、查找文件(jiàn)命令可以对文件进行管理。
流数据(jù)扫描
许(xǔ)多用户在安装系(xì)统(tǒng)时都采用NTFS格(gé)式(shì),而数据流(liú)正是NTFS格式下(xià)的概念。有人利用数据流来传播(bō)恶意(yì)程序,很多安(ān)全工具也加入了数据流的(de)扫描(miáo)检测,“ 狙(jū)剑”当然也不例外(wài)。单(dān)击“文(wén)件”下面中(zhōng)的“流数据(jù)扫描”命令,就可(kě)以(yǐ)发现隐藏在文(wén)件流中的病毒并清除,从而让系统(tǒng)变得更(gèng)加的安全稳(wěn)定。
狙剑启动时(shí)需要加载驱动,可(kě)能会(huì)被杀软、安软或病(bìng)毒(dú)拦(lán)截。狙(jū)剑在进(jìn)程管理中无法结(jié)束360进程,可(kě)以尝试列出线程(chéng)-用Shift全(quán)选-结(jié)束线程(chéng)来关(guān)闭。
狙剑(jiàn)现已被360安全卫士收购!
