kv2007系统监控工具的使用

凌空十字剑

Rootkit病毒可以欺骗我们的操作系统，让任务管理器、资源管理器以及注册表编辑器呈现出一种假象，而这种假象正是Rootkit所希望我们看到的。举个例子，一个病毒想要隐藏自己，如果给自己设定为隐藏属性，这样很容易发现，怎么样才能不容易被发现呢？那就是使用rootkit技术，当资源管理器发出显示所有文件的命令时，rootkit病毒会捕获这个信息，返回给资源管理器一个假的信息，而资源管理器将这个信息以图形界面显示出来就是显示了除该病毒以外的所有其他文件。Rootkit病毒在注册表编辑器、任务管理器隐藏自己的原理类似。 为了抵御Rootkit病毒，KV2007的系统监控提供了一整套反Rootkit工具，其中包括：进程查看器、查找被病毒隐藏的文件和查找被隐藏的注册表项。下面就具体介绍下如何使用这三种工具。 KV的进程查看器有两种方法打开，一种是从右下角工具栏红K处，点击鼠标右键，选择【系统监控】，再选择【进程查看器】。另外一种就是从主界面打开：打开KV主界面，点【工具】，再选择【进程查看器】。两种打开方法分别如图1和图2： 打开进程查看器后我们可以以列表格式看到当前的进程信息，包括进程名、进程标识、用户、CPU占用量、认证、个人标记、进程文件路径、开发厂商、文件说明以及版本信息。如图3： 如果windows自带的任务管理器里的进程数与KV进程查看器里的进程数不相同，则需要警惕了，系统很可能已经感染了rootkit病毒。如图4与图5： 图4中windows自带的任务管理器中显示仅有30个进程，而KV进程查看器中进程数为31个，将两幅图对比后发现存在一个named.exe，则此进程很可能是rootkit病毒隐藏的进程。为了探明其到底是否为病毒，KV已经为我们提供了很方便的方法进行查看。在该进程上单击鼠标右键，选择【模块信息】，即打开该进程的模块信息列表，如图6： 黄色加亮部分为进程查看器已验证的正常模块，为了便于我们查看，我们选择【隐藏标记为Microsoft的模块】，这样只剩下非Microsoft模块，如图7： 这时我们可以选择两到三个有代表性的模块，在该模块上点鼠标邮件，选择【另存为】，将该模块另存到桌面。建议不要另为.bin格式，另存时源文件是什么格式就保存为什么格式。然后打开web浏览器，输入网址[img]http://scanner.virus.org，打开该网页。如图8： 这是由virus.org提供的免费多引擎病毒扫描服务，我们只需要点击【浏览】，将刚才另存在桌面上的文件找到，再点击【Upload Now】按钮，稍等约1分钟，virus.org就会帮我们使用多种杀软的扫描引擎帮我们扫描该文件是否为病毒。这里我上传的named.exe经扫描为正常文件，并非病毒。如图9： 若您上传的文件被检测发现是病毒，则可以按照以下步骤操作来清除病毒： 1.在该进程上点击鼠标右键，选择【转到文件夹】，不要关闭文件夹，进行第二步操作。 2.再到该进程上点击鼠标右键，选择【结束进程并加到黑名单】。 3.切换到第一步操作打开的文件夹，删除该文件；如果不能删除则使用KV2007鼠标右键菜单里的【重启删除】功能将其在重启时删除。若文件夹内找不到该文件，则需要使用“查找被病毒隐藏的文件”功能，详细使用方法请继续往下阅读！ 4.将刚在另存在桌面上的文件使用压缩软件（如：WinRAR）加密码virus压缩后以邮件附件形式发送到virus@jiangmin.com ；您也可以使用web浏览器打开网址http://virusup.jiangmin.com在线上传该病毒。如果您被确认为是第一个上传此类病毒的用户，您将获得一个KV一年序列号作为奖励！ 除此之外，KV进程查看器还提供了一些功能方便我们对进程进行管理。 a.认证功能如图10，绿色高亮部分既是认证功能。KV进程查看器会自动认证真实安全的系统进程，通过认证的系统进程会在“认证”栏内有OK字样。这项功能设计的非常贴心，可以很方便的帮助初级用户辨别伪系统进程病毒。若您系统（以XP SP2为例）的进程中有services.exe，但文件路径却是C:\Windows\system，则该services.exe很可能就是病毒。如果在KV进程查看器里，则这个伪services.exe后面就不会有认证栏下面的OK字样。 b.系统分析点击进程查看器下方的【分析系统】，KV进程查看器会帮我们分析我们的系统是否存在Rootkit的钩子，这是检测Rootkit病毒的一个很重要的环节。一般来说，只要存在Rootkit病毒，都必须hook，所以这个环节很重要。但是，这里【分析系统】的结果里面，如果出现某文件修改了几个系统入口之类的提示，并不表示一定存在Rootkit病毒。例如安装了Daemon Tools或者Alcohol 120% 之类的虚拟光驱软件，则会提示“sptd.sys 修改了 4 个系统入口”这是正常的。 c.进程模块查看这个功能前面讲到过，使用此功能可以方便的查看每个进程中的模块信息。隐藏标记为Microsoft的模块后，安全性未知的模块我们可以单击鼠标右键，选择【属性】，在属性栏里，选择【版本】选项卡，在【版本】选项卡里我们可以查看各个模块的出品公司、描述以及版本等信息。以下提供一些常见的安全模块信息： nvcpl.dll nvapi.dll nvshell.dll 等都是nVidia公司出品的显卡驱动的组件 Hivebase.dll KvShell.dll kvXP****.lng 等是KV的相关组件 Rarext 是WinRAR的组件 DSieHelper.dll DataProcessor.dll xunleiBHO_Now.dll是迅雷相关组件 d.简洁查看与管理为了方便我们的查看，我们可以把信任的安全的进程点鼠标右键【标记为信任进程】，然后再点鼠标右键，选择【不显示信任进程】，即可简洁的显示出进程，如图11 和进程查看器一样，查找被病毒隐藏的文件可以通过两种方式打开，如图12和图13，这里不做赘述。 打开查找被病毒隐藏的文件界面后我们可以扫描默认的系统路径，也可以自定义路径扫描。确定好扫描路径后即可按【开始】按钮开始扫描。扫描完成后结果即被显示出来，如图14： 单击一个文件，点击右边的【复制到…】按钮复制到桌面，建议去掉KV加上的.hidden保存。然后打开web浏览器，输入网址http://scanner.virus.org，打开该网页。按照上面介绍的方法上传该文件扫描，确定该文件是否为病毒。如果是病毒，则点击右边的【删除文件】按钮，再将刚才复制到桌面上的文件按照上面的方法上报；如果不是病毒，则忽略。 查找被隐藏的注册表项与查找被病毒隐藏的文件使用方法类似，不同的就是处理方式。如果发现了被隐藏的注册表项，除非您确定并非病毒所致，一般都建议您删除该项信息。删除前建议您备份整个注册表。 对这几项功能做一些说明： 1.KV进程查看器的认证功能需要您开启系统监控功能。由于认证功能会认证每个模块，所以需要一段时间才会显示，一般在开启系统监控10分钟后才会有显示。 2.已验证通过主界面打开KV进程查看器不能正常使用认证功能，此时要使用认证功能请从任务栏鼠标右键红K打开进程查看器。 3.删除任何文件和注册表项前请做好数据的备份。本文作者只提供操作方法、步骤，不负责其他任何意外导致的文件损失！

pluto1313

貌似从江民社区转过来的