查看: 8469|回复: 27
收起左侧

[原创文章] 进程、启动项、驱动等的快照对比方法

  [复制链接]
恶意代码
发表于 2011-3-23 23:47:34 | 显示全部楼层 |阅读模式
本帖最后由 恶意代码 于 2011-3-23 23:58 编辑

本文章是为了方便查出系统中病毒而写的,比较适合比我还新的新手,大家有兴趣的话请往下看。

进程快照对比


需要的工具是XUETRBeyond_Compare
Beyond_Compareby 北方星空):http://bbs.kafan.cn/thread-911112-1-1.html
大家自行下载,本处就不提供了
先创建进程快照,打开XUETR,对任何一个进程,右键--导出



自己定一个方便记住的文件名



快照完毕,就这样了!
一段时间后,当然,可能是一天,或是一个月,一年也有可能(啰嗦了点,呵呵)
进行上面的操作,创建新的进程快照



然后打开Beyond_Compare,选择文本比较


然后。。。。。。










要先选好语言,不然会出现乱码





再然后就开始比较了



报告选项要选择差异,不然报告内容会很多很多,不方便辨别病毒,然后打印预览



这样就可以很简单的发现新的进程了,然后在进行病毒辨别



因为两份快照只是教程用,所以的,进程的PID没有改变
重启系统后,最终结果就不是这个样子了,你试试便知,不过还是会很容易看懂的

评分

参与人数 4经验 +10 魅力 +1 人气 +2 收起 理由
tawny2008 + 10 实用教程
gtyre1 + 1 技术流的。
xiaoluo + 1 那我加技术
边缘vip + 1 不错的教程帖,感谢提供分享!

查看全部评分

恶意代码
 楼主| 发表于 2011-3-23 23:48:28 | 显示全部楼层
本帖最后由 恶意代码 于 2011-3-23 23:52 编辑

驱动、启动项快照对比和进程操作方式的基本是一样的。

启动项可以使用AUTORUNS来做快照,当然记得隐藏微软和系统进程


驱动快照建议还是使用XUETR




如果想全面一些,建议使用SREng等系统日志扫描工具来做快照!
ioton
头像被屏蔽
发表于 2011-3-24 00:23:32 | 显示全部楼层
这个方法还不错,学习了。。
缘尽于此
发表于 2011-3-24 00:43:55 | 显示全部楼层
学习下。
ivanlmy
发表于 2011-3-24 01:13:37 | 显示全部楼层
好工具,对于我这些菜鸟起到很好的帮助。。。
liulangzhecgr
发表于 2011-3-24 06:36:36 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2011-3-24 07:13 编辑

以前下载过比较文件的此工具...一直不会用啊!后来删除啦!前几十天的事...!

fc有点烦琐...!
谢谢此教程!学会软件的使用!
试一试:



可惜的是winpe下不能用...


lovehhy
发表于 2011-3-24 09:03:11 | 显示全部楼层
360Amigo可以自动比较的,叫做自动运行项分析对比警告功能
wwdboy
发表于 2011-3-24 13:16:45 | 显示全部楼层
这个不错,感谢分享
kuaile
发表于 2011-3-25 09:39:46 | 显示全部楼层
详细,清楚,谢谢lz分享
fatum
发表于 2011-3-25 13:50:20 | 显示全部楼层
有个软件叫看门狗好像有这个功能
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:13 , Processed in 0.141866 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表