查看: 9696|回复: 43
收起左侧

[分享] [教程]ESET SysInspector简介及应用——希望能帮大家脱离病毒的魔爪

  [复制链接]
Hacker29cn
发表于 2010-4-30 14:59:54 | 显示全部楼层 |阅读模式
本帖最后由 吾与谁归 于 2011-5-31 13:39 编辑

ESET SysInspector
  ESET SysInspector是一个分析电脑作业系统、处理程序、登录档和网路连接的免费应用程式。
  它可助你轻松地收集电脑中的系统数据并储存成纪录档,再送往技术支援专家分析,作威胁评估。
  简单来说,你可以藉由ESET SysInspector汇出的记录档,把电脑中所收集到的系统数据和资料传送给IT专家作分析和威胁评估。这不但帮助你比以前更快捷和客易处理电脑中的恶意程式,而且同时亦维护了客户个人隐私的需要。因为汇出记录档时,你可选择ESET SysInspector替你排除所有私人资料、机密数据和重要档案,所以就算记录档内容被张贴于一些电脑技术讨论区时,使用者也不用担心隐私会被泄漏出去。

下面我就ESET SysInspector给大家做个简要的介绍:
一、启动和退出:
    1、启动
       启动有两种方法:
       ①单击开始——所有程序——ESET——ESET SmartSecurity——ESET SysInspector 如下图所示:


        ②首先启动ESET用户界面,显示模式更改为高级,然后单击工具,打开下拉菜单,单击SysInspector即可启动,如下图



    2、退出
       单击窗口右上角的“×”即可



二、ESET SysInspector的使用方法
    1、首先,应创建计算机状态快照,方法如下:
       单击“创建”按钮,为快照起个名字,文中以“second”为例,然后单击“添加”如下图:
     


    2、然后等待系统创建完毕(如下图):
      





等系统快照创建好后我们双击已经创建好的快照(如我创建second),ESET就会启动分析系统:




三、SysInspector的简单应用
    之所以说是简单应用,是因为我本身也不是高手,有很多问题还没弄太清楚,所以,在下只能班门弄斧了,还望各位不吝赐教!
   1、界面所包含的信息
      打开界面后,我们看到一个“花红柳绿”的界面,但是不要小看这些颜色,因为它们代表不同的风险等级,具体含义如下图:



可以看出,基本上,绿色代表安全和良好,橙色代表未知和有一定的风险,红色代表危险(不是绝对的,还要结合其它工具以决定是否是真的风险)


   2、单击左侧的项目,就会展开详细信息:
      这是打开正在运行的进程时,打开的项,黄色代表有可能风险。如图:


    3、单击左侧可能存在风险的进程,右边就会显示出加载的模块信息,其中可能存在风险模块用不同颜色标明,单击相应模块,下方显示加载DLL的文件指纹SHA1信息,写入修改时间等,便于进行比对。



    4、风险的筛选技巧
    对于绿色的项我们不必担心;对于橙色的项,我们只需留心;对于危险的项(红色),我们就该费费心了。
    单击筛选拖动块,就可以筛选出相应风险等级的项了。如下图:
   

5、启动组和外壳程序打开命令:



可以非常清晰的看出启动组加载的情况,定位恶意程序启动的位置和嵌入外壳的打开命令,图示的是MediaPlayer的外壳程序打开命令。
6、外壳程序执行钩子:

许多木马和间谍软件光顾的地方:(但杀软也会如此做,不要草木皆兵)



这里显示了一个叫做deskpan.dll的风险项,搜索得到
deskpan.dll
Display Panning CPL Extension
Brief description of process
deskpan.dll is going to be reviewed by our specialists. If you are using world wide web, receiving e-mails, downloading files from internet or loading applications from external disks and not using resident antivirus application, there is a huge potential risk to be infected by malicious software, like computer virus, trojan or spyware.
可以看出,它很有可能被木马或者间谍软件感染,ESET用橙色提示你要留心,但这不一定表明已经被感染,我到国内的网站搜索了一下,发现如下信息:
deskpan.dll不是木马病毒。可能是个自动弹出广告的动态联接库。建义将其删除。运行注册表,选择HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run将右边的deskpan.dll删除。不会影响系统的。属于垃圾动态联接库。(如果有的话。大家不“必对号入座”,在此仅用于举例)。

7、Hosts反黑
   
先介绍一点基础:

可以通过修改Hosts文件屏蔽恶意网站:

  现在有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中,其中有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或本地计算机的IP,这样就不用访问了。在WINDOWSX系统中,约定127.0.0.1为本地计算机的IP地址, 0.0.0.0是错误的IP地址。
  如果,我们在Hosts中,写入以下内容:
  127.0.0.1 # 要屏蔽的网站 A
  0.0.0.0 # 要屏蔽的网站 B
  这样,计算机解析域名 A和 B时,就解析到本机IP或错误的IP,达到了屏蔽网站A 和B的目的。
详细内容,大家可以参考百度百科:
http://baike.baidu.com/view/493742.htm
在此不再赘述。

     这里是ESET能带给我们的信息,包括可能的恶意网址,大家可以看一下我们自己的Hosts文件,危险的项,说明该网站很可能是恶意网站!
另外,要看清前一列的地址,如果不是127.0.0.1或者0.0.0.0,那就要小心了。
比如,恶意软件向Hosts文件添加:
127.0.0.1   http://www.eset.com.cn/
那么ESET的主网站在该机器上就打不开了,如果是杀软更新地址,那么杀软就无法更新了。
请看图


8、最后说一下文件信息:
   这里列出了一些关键文件的信息和其安全程度,对那些善于修改系统文件的病毒(间谍),我们可以顺藤摸瓜,找到它的孽根!


本教程确实有些长,感谢大家有耐心看完!本人也并非高手,不足之处,还望大家不吝赐教!另外本教程并不是完全解释该工具的用法,只是简单介绍一下,大家见谅!还有问题尚待商榷。更详细的请看
http://www.eset.eu/en/eset-sysinspector和相应的FAQ,谢谢!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +15 人气 +3 收起 理由
gsl9583306 + 15 + 2 原创,追加分数
依然寰随云 + 1 才发现,学习了。

查看全部评分

657317010
发表于 2010-4-30 15:10:23 | 显示全部楼层
很不错,感谢楼主。嘿嘿,貌似沙发
Hacker29cn
 楼主| 发表于 2010-4-30 15:12:01 | 显示全部楼层
回复 2# 657317010
感谢关注!
陽桄~ぬ耀眼
发表于 2010-4-30 15:22:22 | 显示全部楼层
谢谢楼主  此帖已收藏
liyuan210
发表于 2010-4-30 15:23:51 | 显示全部楼层
多谢楼主分享
屠凤刀
发表于 2010-4-30 17:01:44 | 显示全部楼层
学习了
感谢楼主分享
gsl9583306
发表于 2010-4-30 17:33:59 | 显示全部楼层
不错,感谢分享!
szp1688
发表于 2010-4-30 17:46:03 | 显示全部楼层
感谢分享

评分

参与人数 1人气 +1 收起 理由
gsl9583306 + 1 稀客啊!

查看全部评分

Hacker29cn
 楼主| 发表于 2010-4-30 18:25:19 | 显示全部楼层
多谢版主啊,同时谢谢大家
zfpoluto
发表于 2010-4-30 20:44:33 | 显示全部楼层
写的不错,谢谢lz分享~~~~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 16:47 , Processed in 0.146313 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表