超级进程监视器（有效防止上网中毒）(支持VISTA了)

chenhui530

设计这个程序的目的：
       这个程序的设计其实是有一段小小的插曲。
       有一天在网上下载一个有声有小说，找了N多站还是没找到最后放弃了，继续写程序，在调试程序突然发现冰刃等安全软件都用不了拉，才意识到自己已经中毒了。结果察看了一翻才知道中了新版的机器狗病毒，无奈后来用天琊三下五除二把它干掉了。但是却引发了我一个不经意的想法。现在上网好危险，一不小心就中毒，我们还算好了懂些电脑都还中了，对于一些菜鸟或者根本只会使用电脑的电脑文盲那该怎么办啊？后来想了想，其实上网中毒一般会又几种情况。1网页中下载了错误的目标文件并且运行了。2。安全了未知名的病毒插件。3网页溢出（这种是最难防的）等。当然还有其他方式，但是这3种是最常见的。我想我就是因为第三种方式中了机器狗的。既然有了想法我就认真的思考了一翻发觉其实可以简单的监视进程启动就可以很大的减少中毒的可能性了。于是简单的设计了此程序。程序设计完后我专门去找了一些H站，成功了防范了溢出方式的病毒。可以看下图。

现在简单介绍一下程序的使用方法。
        程序非常简单，可以说简单的不能再简单了，在内核态钩了进程启动函数。默认有两种套餐。1上网套餐（默认添加了一些临时目录在黑名单中，可以继续往里添加。）2自定义套餐。这是一个完全自定义的方式。有白名单和黑名单这两个里面都可以添加指定文件或者目录（监视包括子目录）。只要添加在黑名单的程序和目录下的程序程序会自动提示（当选择“当有程序试图运行禁止区的程序时提示用户选择”的时候会提示）或者直接禁止可疑程序的运行。如果是把一个目录添加进了黑名单但是下面又有些程序是正常的经常使用的这时我们可以把部分程序添加进白名单即可。比如上网套餐默认是把%SystemRoot%目录下(Winnt/windows)目录下和其子目录下的所有程序都监视了这时如果没有选择“当有程序试图运行禁止区的程序时提示用户选择”时如果运行了这下面的文件都会直接拒绝了。比如现在我们要运行cmd这时我们就可以把cmd添加进白名单即可%SystemRoot%\System32\cmd.exe，还有些危险的程序比如Rundll32.exe很多病毒是通过它来加载DLL的但是正常程序也需要加载它我们怎么区分呢？比如"%SystemRoot%\system32\rundll32.exe" %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL这是打开方式是正常的所以我们只需要在白名单里把"%SystemRoot%\system32\rundll32.exe" %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL添加进去就行了。这时如果运行了Rundll32.exe如果命令行不是这样的话就会提示或者直接拒绝了。
      大家在制作白名单的时候最好是带命令行不要直接添加进程文件路径这样识别更加准确。白名单添加的越完整提示就越少，当然得保证你添加的正确不要让病毒有机可乘哦。
      在防止溢出方面程序是默认添加了一些临时目录，因为上网的时候绝大部分病毒都是运行在临时文件夹的。这时如果发觉有进程启动了我们就检查一下是不是自己运行的或者是其他正常程序运行的，至于区分方法其实也很简单，如果你这时不在安装什么软件，但是启动的这个程序又是新建的文件那么这个程序就很可疑了，当然还有其他很多判断方法，只要有点病毒意识的应该都能正确判断出来。
       程序只要合理利用应该可以很有效的降低中毒几率，当然如果哪个高手把白名单和黑名单的脚本制作好了那么就更方便菜鸟们使用了。大家只要在上网前先把程序运行，然后下网的时候清理一下临时目录应该就差不多了。
       此程序还针对一些安全反病毒的病毒分析师也有很大作用，这点不说了只要是做这方面的就能体会它的用处了

[ 本帖最后由 水木 于 2009-2-12 19:21 编辑 ]

bryno1

支持原创，强力帮顶

hkt988

[:27:] 支持原创，顶你[:27:]

小v可

力挺！
支持陈辉大哥！支持原创！

asinasina

这个牛
来顶下

英仔

不錯哦....有图文教學明白點

chenhui530

刚添加了图了

英仔

第二幅好帥
收下了

huai168an

强悍的防毒工具

丢三落四

顶，支持一下下，