【火绒剑-互联网安全分析软件】是一款用于发现、分析、处理系统安全问题的软件产品。
用户在使用电脑和上网过程中,面临着电脑病毒、流氓软件、流氓网站以及各种商业软件、商业网站的侵权行为的危害。【火绒剑-互联网安全分析软件】可以帮助安全工程师以全面地发现、了解上述各种危害的程序行为和活动信息,并提供了高强度的处理方法以突破恶意软件的自我保护机制。安全工程师可以借助【火绒剑】清楚地解析上述恶意软件行为,进而帮助普通电脑用户清除和防范上述各种威胁。
特点
1.创新的“内核纯净化”反Rootkit技术;
2.全面、详细的程序监控信息;
3.快速、完整的系统启动项、程序代码检查;
4.支持64位Windows系统;
5.系统资源占用小;
功能
【火绒剑-互联网安全分析软件】提供了系统监控、进程管理、启动项检查、内核信息查看、代码钩子扫描五大功能。
一、系统监控
系统监控功能用于监控和记录系统中活动程序动作。所记录的内容包括:1.动作发起者,2.操作目标,3.动作名称,4.动作参数,5.操作结果。
【火绒剑-互联网安全分析软件】可以监控的动作种类包括文件类、注册表类、进程类以及网络类。查看监控记录的详细信息时,可以看到动作产生时的调用栈以及详细的调用参数,方便用户找到可能存在问题的程序模块。
此外,【火绒剑-互联网安全分析软件】还对恶意软件常见的行为进行了抽象和总结,并将这些行为列入监控功能中,以简化用户分析问题的工作量。
二、进程管理
进程管理功能以树型方式展示活动进程以及已经退出的进程。用户可以看到进程间启动关系、进程加载的模块、进程的内存块以及进程的句柄信息。查看进程的详细信息,用户可以了解到进程的活动线程以及建立的网络连接。
进程管理功能还提供了模块查找、句柄查找、字符串搜索、数据搜索功能,可以帮助用户快速找到可疑的进程以及模块。
针对恶意软件的自我保护机制,【火绒剑-互联网安全分析软件】使用“内核纯净化”技术可以强制结束进程、复制文件、转储模块内存数据。
三、启动项检查
恶意程序通常会伴随系统或者某些应用程序一起启动。 启动项检查功能将扫描系统以及部分应用程序启动过程中需要运行的程序,并把结果以列表的方式展示给用户。
当发现可疑的自启动程序时,用户可以禁用或者删除对应的启动项。如果选择删除操作,程序将无法自启动,启动项对应的信息将会被彻底删除并且无法恢复。禁用操作能够使程序将无法自启动,同时备份启动项对应的信息,用户可以恢复启动项。
四、内核信息查看
内核信息查看功能展示“驱动对象信息”、“内核服务表”、“内核通知”以及“中断表”。“驱动对象信息”以树形的方式展示系统内核中活跃的驱动对象、设备对象以及设备对象的附属关系,用户可以查看这些项对应的驱动模块信息。“内核服务表”展示了SSDT、Shadow SDT、Win32K这几个服务函数表,并标注了被修改过的地址项以方便用户找到可能是Rootkit的驱动程序。
“内核通知”展示了进程通知、线程通知、映像通知、关机通知。“中断表”展示了每一个CPU对应的中断表。“内核服务表”、“内核通知”、“中断表”这几个子功能所列的记录均可以查看反汇编代码,用户可以通过反汇编分析是内核服务、中断表项以及内核通知所指向的代码是否为恶意代码。
五、钩子扫描
钩子扫描功能可以检查“Windows消息钩子”、“进程模块钩子”、“内核模块钩子”,“驱动对象钩子”。
“驱动对象钩子”将扫描特定的驱动对象数据,检查它们的IRP派发表、FastIO派发表以及附加设备对象。用户可以通过“驱动对象钩子”的扫描结果分析是否存RootKit或者间谍软件。
“进程模块钩子”与“内核模块钩子”会检查进程与内核中已经加载的模块是否存在钩子代码,可以检查的挂钩方式有“IAT”(模块导入表挂钩)、“EAT”(模块导出表挂钩)、“Inline”(模块代码挂钩)。通过查看钩子的详细信息,用户可以看到钩子的原始数据、当前数据以及钩子指向的模块等信息。此外,用户还可以通过反汇编钩子的代码分析是否存在恶意代码。