火绒系统安全诊断工具介绍

china_killer

火绒系统诊断工具
Table of Contents
1 定位
2 特点
3 功能
3.1 实时监控
3.2 进程管理
3.3 启动项管理
3.4 内核诊断信息
3.5 钩子扫描
4 典型应用案例
4.1 场景1：分析恶意程序
4.2 场景2：发现、处理恶意程序
1 定位
为安全从业人员及安全爱好者提供发现、分析、处理系统及应用程序安全问题的工具；

2 特点
支持动态分析和静态分析；
支持64位Windows系统；
采用“内核纯净化”技术处理内核级Rootkit；
3 功能
3.1 实时监控


可以监控系统中所有进程的文件、注册表、进程以及网络动作；
可以通过拖入程序到监控页面来监控该程序及其子进程的全部动作和行为；
提供对程序行为的抽象并高亮显示，例如：自我复制行为、自我删除行为、进程入侵行为、注册自启动项等；
对监控到的所有程序动作记录详细的动作信息，包括：
动作发起者进程信息；
程序动作详细参数信息；
发起动作时的调用栈信息；
按照进程关系组织的任务组详细信息；
可以通过对进程信息、程序动作和程序动作参数设置过滤规则，快速定位到需要关注的程序动作和行为；
3.2 进程管理


以列表或树型展示系统中全部活跃以及非活跃进程信息，包括：
进程ID、会话ID、全路径、命令行、当前路径、等基本信息；
进程线程信息；
进程模块信息；
进程打开的句柄列表；
进程相关的网络连接信息；
进程产生的网络流量数据；
以不同颜色区分活跃和非活跃进程；
可以定位进程对应程序文件及查看文件属性；
对活跃进程可以进行结束、挂起、恢复操作；
可以关闭进程打开的句柄；
可以提取进程、模块的内存映像或文件中的全部字符串；
可以搜索系统中全部打开的句柄和加载的模块；
3.3 启动项管理


可以扫描系统中的启动项，并可以对扫描到的启动项进行禁用、启动和永久删除；
支持扫描以下类型启动项：
登陆类（Logon）
浏览器类（Explorer）
IE浏览器类（Internet Explorer）
系统服务类（Services）
内核驱动类（Drivers）
解码器类（Codecs）
Winsock提供者类（Winsock Providers）
打印提供者类（Print Monitors）
本地安全认证类（LSA Providers）
网络提供者类（Network Providers）
启动执行类（Boot Execute）
映像劫持类（Image Hijacks）
AppInit类（AppInit）
已知动态库类（KnownDLLs）
Winlogon类（Winlogon）
输入法类（IME）
计划任务类（Scheduled Tasks）
3.4 内核诊断信息


内核诊断信息包括以下内核信息：
驱动（设备树）信息（Driver Information）
系统服务表（Service Dispatch Table）
内核通知信息（Kernel Notify）
中断描述符表（Interrupt Table）
高亮提示被修改的内核信息；
3.5 钩子扫描


扫描内核态IAT、Inline钩子；
扫描用户态IAT、Inline钩子；
可以对指定进程进行快速扫描；
对扫描到的钩子进行指令分析识别多级跳转类型的钩子；
4 典型应用案例

待续~~~
1.分析病毒样本
2.分析软件流氓行为

下载参考：
http://bbs.kafan.cn/thread-1251702-1-1.html

天原

支持一个

hdy0775

说到“内核”，没有人比微软的工程师清楚。
不过呢，看看微软的杀毒软件你就知道了。
控制内核很简单，但最终会演变成“系统总管”，系统里发生什么事都要经过用户点击确认才行。
所以我不看好这条路。

独家的记忆

hdy0775 发表于 2012-4-20 14:28
说到“内核”，没有人比微软的工程师清楚。
不过呢，看看微软的杀毒软件你就知道了。
控制内核很简单，但 ...

支持这个工具，功能比较多，而且实用

a908499916

该不是弹窗能烦死人吧

天原

a908499916 发表于 2012-4-20 14:55
该不是弹窗能烦死人吧

这是用于系统检测的维护工具不是防御软件…

ikimi

更像是安防软件还是辅助的呢？

潘中医

ikimi 发表于 2012-4-20 21:40
更像是安防软件还是辅助的呢？

辅助的

daoyuan

下载地址呢？好像没看到啊。

xiao8566

支持