SnipeSword(狙剑)是国内推(tuī)出的一(yī)款功能强大的安(ān)全反黑工具,它提供系统监视(shì)、进程管理、磁盘(pán)文件管理(lǐ)、注册表检查、内核检查等功能。并且(qiě)程序自带了很多系统监视功能,可以防止恶意软件(jiàn)对文件(jiàn)及注册(cè)表(biǎo)的修改,从而方便地(dì)手工(gōng)查杀(shā)木(mù)马,是目(mù)前少(shǎo)数能与IceSword(冰刃)抗(kàng)衡的反黑工具之一。其追(zhuī)求的目标是:“尽力(lì)让您看到您想看到的任何东西,包括被木马刻意(yì)隐藏的;努力(lì)让(ràng)您能清掉您想清掉的(de)任(rèn)何东西,包括被木马恶意(yì)保护的。
精简模(mó)式
当运(yùn)行“狙剑”后,程序会自动缩小到系统(tǒng)栏中,双击图(tú)标可(kě)以展开软件的精简模式(shì)。精简模式包括进程(chéng)管理、自启动程序(xù)管理等一些主要的安全功能。对不熟悉系统内部操作的用户(hù)来说(shuō),只需单击相应的(de)功能按钮就可以完成所需要的操作。比如单击“进程”标签可以查(chá)看(kàn)当前系(xì)统的进程信息,包括(kuò)那些(xiē)在任务管理器中(zhōng)查看不到的隐(yǐn)藏(cáng)进程;单击“主(zhǔ)动防御”功能可以有效阻止恶意程(chéng)序的激活。主动防御的相关规则包括程序运行控制、钩子安装控制、程序写入控制、进程注入控制等。恶意程序做任(rèn)何规(guī)则禁止的操作,程序都会进行(háng)拦截并提示用(yòng)户(hù)注意。
专业模式
精(jīng)简模式操作虽然可以帮助用户解决大部分(fèn)常(cháng)见问题(tí),但如果遇到某(mǒu)些棘(jí)手问题,专(zhuān)业模式更胜一筹。
单击精简模式(shì)窗口中的“进入专(zhuān)业模(mó)式”命令(lìng)进入专业模式,它的操作(zuò)模式和(hé)冰刃有(yǒu)几分相(xiàng)似。
查杀木马
以下以查杀(shā)PcShare木(mù)马(mǎ)为例,阐述“狙剑”的使(shǐ)用方(fāng)法。
PcShare木马(mǎ)采用反弹连接(jiē)技术、HTTP隧道技术等,而且还使用了驱动隐藏模块,这样就可以更方便地隐藏和保护服务端程序(xù)。[2]
首(shǒu)先查找PcShare木马的进程,因为无论是木马程序(xù)还是(shì)流(liú)氓病毒,只要查找到启动项和(hé)相关进(jìn)程等(děng)信息(xī),就可以清除恶意(yì)程序的相(xiàng)关内(nèi)容。
在(zài)“狙剑”窗(chuāng)口中,单击“内核”下的“进(jìn)程管理”命令,在进程列表中查看当前(qián)系(xì)统中的所有进程,包括那些(xiē)被隐藏的木马服务端(duān)程(chéng)序的进程。
单击“注(zhù)册表”下的“自启动程序”命令(lìng),可以看到利用注册表、系统服务等多种方式启(qǐ)动的所(suǒ)有信息。启(qǐ)动列表里有两个可疑的启(qǐ)动项,其中一个启动(dòng)项关联(lián)的是驱(qū)动隐藏(cáng)模(mó)块,而另一个就是利用svchost.exe进程启动的可疑模块。清除起来很简单(dān),在进程列表中找到“zbrmhjpa.dll”模块后,单(dān)击鼠标右键中(zhōng)的“卸(xiè)载并删除”命令即(jí)可。另外在自启动列表中(zhōng)找到“zbrmhjpa”这项(xiàng)内容,同样单击鼠标右键中(zhōng)的“清除的(de)时候删除文件(jiàn)”命令,这样就可以(yǐ)彻(chè)底清除该木(mù)马程序了。
自动修复
专业模式(shì)中(zhōng)的修复功能更加强大,“狙剑”自带的(de)系统终极(jí)修复(fù)功能(néng)可以将系统还(hái)原到初装状态,也就是(shì)刚安装完(wán)Windows系统后的状态。当修复后第一次重新启(qǐ)动(dòng)时,硬件驱动还未安装,修(xiū)复完成后可(kě)能会出现桌面(miàn)空白、较低的屏幕分辨率(lǜ)等状态,此修(xiū)复(fù)并不(bú)会删(shān)除系统中的任何文件。因为(wéi)安装的驱(qū)动程序其实(shí)都还在,只是系统(tǒng)暂时还不能装载(zǎi)而已,在(zài)大(dà)多数情况下只需要(yào)再重启(qǐ)一次,Windows系统就会自动将已经安装的驱动进行重(chóng)新注册。
此功(gōng)能的意(yì)义不言而(ér)喻,因为无论系统(tǒng)中了何种木(mù)马(mǎ)程序,都将在重启后变成一堆(duī)废物。它们的各种隐藏与保护手段都将失效,这时只需再用“狙剑”的文件验证功能(néng)对可疑文件进行筛选删除即可。但要特(tè)别注意,要防止被(bèi)病毒木马二次(cì)感染,系统修复并不会删除文件,在打开磁盘分区时一定要注意里面的 AutoRun.inf文件(可以右击(jī)“我的电脑”,选择(zé)“资源(yuán)管理器”以绕(rào)过AutoRun.inf的执行(háng))。如果整(zhěng)个磁(cí)盘文件已被全(quán)部感(gǎn)染(rǎn)的话,该功(gōng)能就(jiù)无能为力了。
注册(cè)表操作
和其它安全工具一样,“狙剑”中(zhōng)也有一个注册表编(biān)辑器(qì),这个编(biān)辑器是直接解析HIVE文件来实现注册表(biǎo)数据的读(dú)取(qǔ)与修改的(de),这相对于(yú)注册表来说已经是最底层的操作了,可以对最(zuì)隐蔽的(de)启动项进(jìn)行查看(kàn)与清除,同时(shí)也可(kě)以(yǐ)在(zài)恶意程序屏蔽注册(cè)表时进(jìn)行操作。
文件(jiàn)管(guǎn)理
文件管理同样是(shì)安(ān)全检测的重点内容,选择需要查看的磁盘(pán)分区,对(duì)该分区的文件信息进行安全扫描,扫描(miáo)结束后显(xiǎn)示(shì)该分区的文件信息(xī)。程序(xù)自动统计出该磁(cí)盘(pán)中的文(wén)件数目,包(bāo)括已有的和已经删(shān)除的文件和文件夹数目(mù)。通过右键菜单中的复制文件、破坏文件、查找文(wén)件命令可以对文件进行(háng)管理。
流数(shù)据扫描
许多(duō)用户在安装系统时都采(cǎi)用NTFS格式,而(ér)数据(jù)流正是(shì)NTFS格(gé)式下(xià)的概(gài)念。有人利用数据流(liú)来传播(bō)恶意程序,很多安全(quán)工具也加入(rù)了(le)数据(jù)流的扫描检测,“ 狙剑”当然也不例外。单击“文件”下面(miàn)中(zhōng)的“流数据(jù)扫描”命令,就可以发现隐藏在(zài)文(wén)件(jiàn)流中的病毒并(bìng)清除,从而(ér)让系统变得更加(jiā)的安(ān)全稳定。
狙剑启(qǐ)动时需要加载驱(qū)动,可能会(huì)被杀软、安(ān)软或病毒拦(lán)截。狙剑在(zài)进程管理中无法结束360进程(chéng),可(kě)以(yǐ)尝(cháng)试(shì)列(liè)出线程-用Shift全(quán)选-结束线(xiàn)程(chéng)来(lái)关闭。
狙剑现已被(bèi)360安全卫士收购!
