先睹为快---墨者病毒追踪助手使用介绍

huai168an

鄙人三生有幸，抢先试用了墨者的病毒追踪助手，想必部分fans已经知道甚至体验过了，不知道fans也不要急，下面鄙人就简单的介绍追踪助手的大致功能。注意：鄙人使用的版本是内测版，后期的助手功能等情况还不清楚，可能有所变化，不过大体还是差不多的。

简单的说，病毒追踪助手就是删除病毒的顽固文件，有fans就说了：这类安软辅助工具太多了，没啥新鲜的。当然也是，不过新出的这类软件没点吸引的或者新鲜的功能确实很少关注，而助手就不同，它可有很不错的功能或很吸引的功能。好了，不唧唧歪歪了，下面就开始了。

试验环境：虚拟机VMware 、深度windows XP sp2系统




简单的看下安装过程


看下占用资源情况

RCAServ.exe程序服务进程
这个进程为常驻进程


RCAMain.exe为助手主界面进程
LogViewer.exe为助手高级病毒根源追踪工具进程

界面介绍说明














高级病毒根源追踪工具的功能介绍












举个小例子，看下记录情况
简单的说：用wsyscheck工具的文件管理功能删除E盘中一个文件





看下复杂点的关系图
下面的两个图为ThreatFire的安装图




接着上面的安装图，我们看下高级工具的删除能力，对于“删除”这个功能就不试了，毕竟顽固文件是较难普通删除，我们就看下“重启删除”功效，同时也可以全程来看RCA的删除过程。
删除.sys与.vdb两个类型的文件






















介绍的差不多了，下面我们看下对于病毒的记录、查杀情况
orz.exe 机器狗


磁碟机




上面的图一看有autorun 就不对劲，还有DW安装包的日志，从来没动过它就出现了，不对劲，这样发现病毒入侵就很快了，上面知道是病毒，如果不知道，看了这么多莫名、危险的文件，多为中毒的痕迹。

来个简单的病毒清理例子
病毒名与具体危害还不知














上面的例子为单独使用追踪助手的情况，没有使用安软的任何功能，可以看出，程序对应文件动作助手都记录在案，对于一般的病毒生成的顽固文件的清理还是可以的。但不要神话助手哦，它不是杀软，对于较复杂的病毒的清理还是困难的，所以一定要配合杀软使用。

好了，就说这么多了。此次的使用版本是内测版，难免有些小BUG等，这些鄙人不关注，关注的是大局的功能。我想RCA后期的版本功能会越来越多的。因为基础的分析杀软日志的功能就不详细介绍了，有句话叫着：由难入简易。呵呵，对于助手可以分析多少杀软的查杀日志，鄙人还不清楚啊，个人猜想支持大部分主流杀软吧，这个等官方的说明吧。

对于高级病毒根源追踪工具，鄙人还是喜欢叫它日志功能，呵呵，个人理解吧。对于此功能非常不错，会给我耳目一新的感觉，用图表的方式来记录软件对文件的动作、跟踪文件，这样很直观很清晰，很多都不需要去自己查找这个文件哪来的等等情况。

当然个人还是期望更好更强的功能或完善，例如记录软件对关键注册表项的情况并可以对其恢复或回滚或注册表的保护；高级工具读取的日志，随天数的增加而烦多，可以自由删除无用的记录；可以加入主流安全辅助软件的功能，如进程管理、SSDT查看、服务的查看。

总的来说，病毒追踪助手是非常不错的杀软辅助工具，使用杀软的朋友推荐使用。对于热爱把握程序细节动作文件的fans来说，高级工具是很好的选择。。。。。期待助手越来越来强大，有更多的辅助功能，在自身的特点上加入必要的功能，完善助手功能。。。。。。。（鄙人在YY。。。）

友情提醒：此工具不可单独使用，建议配合杀软。初级用户可以使用分析杀软日志的“病毒根除”功能，简单方便；高级病毒根源追踪工具为高级用户使用，初级者慎用（这个为后话，暂时该工具可能还没有提供下载，鄙人还不知该工具的后期情况）。

此贴主要是给fans、安全爱好者对墨者病毒追踪助手一个印象与大体了解，想试试追踪助手的fans我们一起期待助手的横空出世吧，呵呵(好像快要出了 具体不详)。

以上是鄙人的体验报告，体验就意味着有很多个人主观意识的存在，多为个人使用小结，以官方说明为准。如果有错误之处还请指出，鄙人及时修改，谢谢。

注意：转帖请注明作者及出处

[ 本帖最后由 huai168an 于 2008-11-19 21:13 编辑 ]

huai168an

我要沙发

一起期待追踪助手吧

兵者

有意思

wcb46888

墨者不错..

小v可

看看情况！不过因为不能设墨者不开机自启动！我就删了她了！禁用也不好使！还有残余程序！这点不太好！

[ 本帖最后由 小v可 于 2008-11-19 21:41 编辑 ]

xiaochi12

看來是PE下刪除的

huai168an

墨者不开机自启的话，那功能就基本无用了。。。

wxb1994

我也去下个墨者试试

angel13th

看上去如果对系统安全有所研究的话，用来分析病毒不错

小v可

我只是像收藏而已，没准哪天就派上用场了！开机启动太多了我的机子受不了！
开机启动已经有杀毒软件、防火墙、EQ、沙盘、已经够多了！