手工杀毒简介 - 我只是转帖

shucaiAiz

提起安全工具，很多人都会想到杀毒软件，但是你听说过手工杀毒工具吗？真正的电脑高手可是不会在自己的电脑中安装杀毒软件的，也就是“裸奔”，但是虽然是不装任何杀毒软件，但是高手们却绝对不会不准备有一款手工杀毒工具，也就是反Rootkit工具。
在介绍反Rootkit工具之前，我们先来明白Rootkit到底是什么：Rootkit就像是一件隐身的斗篷，可以隐藏计算机中应用程序的软件。Rootkit悄悄地把自己安装在用户的计算机中，隐藏自己的进程、文件、网络通讯和其它可能暴露自己的信息。Rootkit一般隐藏能够让黑客可以轻松找回被控制计算机的工具。Rootkit不易被发现，常用的windows系统自带的任务管理器无法发现采用了Rootkit隐藏的进程。由于没有任何一家厂商能够可靠地检测所有的Rootkit，因此建议最好使用多种免费的Rootkit检测工具。
　　反Rootkit工具，简称为ARK（anti-Rootkit）工具，国内目前最常用的有七个，分别是：IceSword（冰刃）、 Wsyscheck 、Snipesword（狙剑）、SysReveal、XueTr、天琊(Superkill)、Atool，一如古龙笔下的七种武器。
　　ARK工具有什么用处呢？这个要从不同的角度来看：简单的应用有：1、删除顽固文件；2、查找隐藏文件和进程；3、结束用任务管理器无法结束的进程。等等。高级应用：1、检测系统中可疑的隐藏进程； 2、进程查杀 ；3、注册表编辑； 4、进程模块卸载； 5、SSDT服务表管理； 6、内核模块察看； 7、Inline Hook扫描； 8、端口管理；等等。
　　第一种武器：长生剑——Wsyscheck
　　Wsyscheck，它的前身是syscheck，作者是WangSea（王海），深山红叶PE工具箱系出于他，虽然Wsyscheck不是所有ARK工具中最强的，但是却是使用起来最方便简单的，一如长生剑，虽然旧了一点，却非常好用。Wsyscheck的图标和文件组成：
　　其中Wsyscheck.exe为主文件，WdosDel.dat是辅助文件，用于在DOS环境下删除文件，没有它并不会对Wsyscheck的功能产生太大影响。
　　Wsyscheck采用的是随机文件名，减少了被病毒劫持和破坏的几率。Wsyscheck支持XP、vista和win 7系统，具有ARK工具的绝大多数功能，它的文件管理功能可以轻松查看隐藏的文件和文件夹，这一点非常实用，在安装有驱动防火墙、无法加载驱动的情况下，Wsyscheck仍然可以发挥出部分功能，这一点颇为实用，其他几个工具大都是加载驱动失败就无法使用的。
　　Wsyscheck目前已经不再更新了，最后的版本是1.68.33.0
简要介绍一下软件的突出特点：
软件设置选项下，模块、服务简洁显示：此项默认选上，自动隐藏了微软服务，这样看起来更简单明了，红色的表示是非微软服务，且不是sys驱动，一般为exe或dll驱动，注意看签名和路径了。检验微软文件签名：可以通过校验微软文件的签名来看下是否有冒充微软的东东，紫红色显示的都是未通过微软的正名的文件.
进程管理:Wsyscheck提供了非常方便和强大的修复功能，而且用颜色对正常和非正常的程序加以区分，对进程dll插入也用非常简洁的方式同时显示出来，不得不说，这种设计理念理学的成功，很直观，一目了然！
文件查看功能：Wsyscheck的文件查看功能是相当实用的，我就经常用它来查看外来移动设备上的文件，例如，当一个外来USB设备插入电脑时，打开这个设备之前我们先要检测一下USB设备中的文件是否安全，我们就可以用Wsyscheck的文件查看功能来完成。发现其中有红色的标记文件，尤其是可执行的程序文件，我们就可以对这些可疑文件进行直接删除而不必借助于杀毒软件进行全盘查杀，节约了时间。
　　第二种武器：碧玉刀——IceSword（冰刃）
　　刀，为百兵之祖，同样，冰刃也是所有ARK工具的始祖，作者是PJF。IceSword（冰刃）是最早的也是名声最大的一款内核级的反黑利器，为保卫我们的电脑安全立下了赫赫战功，查杀各种病毒木马和后门程序是它的拿手绝活，作者是pjf。虽然这款曾经威名远扬的反黑利器如今已显现出疲态，但是它在使用中显现的强大功能还是不容小视的。
　　目前一些流氓软件采取的手段无所不用其极：线程注入，进程隐藏，文件隐藏，驱动保护。普通用户想把文件给删了或者找出进程来，是非常困难的。有的是看到了，删不掉，杀不掉，干着急，实在不行，还需要重做系统去删除文件。比如采取驱动保护的流氓软件如CNNIC、雅虎助手之类，.sys驱动加载的时候，过滤了文件和注册表，直接返回一个true,Windows提示文件删了，但一看，它还在那里。象一些文件删除工具如unclocker都无效。 IceSword是可以直接删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC这类流氓软件，不需要重启也可以完成了。
　　包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息，结束线程等。
　　冰刃最拿手的功能就是：线程创建和线程终止监视
　　“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情 况。举例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个就被记录下来，你 可以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来 了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置”菜单项：在设置对话框中选中“禁止进线程创建”，此 时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。
　　冰刃目前也停止了开发，作者PJF加盟了360公司，冰刃支持XP和vista系统，但是不支持win 7系统。伴随着新一代的ARK工具例如天琊、XueTr等的出现和电脑操作系统的更新，以及病毒木马技术的发展，冰刃曾经的辉煌逐渐成为了昨日黄花。目前很多的病毒木马可以直接屏蔽它，需要改名才能运行，甚至改名都不能正常运行，新的比它功能更强大的XueTr等安全工具已经开始接替它的位置。看来，它真的要离我们远去了。
　　第三种武器:孔雀翎——XueTr
　　孔雀翎，七种武器中最美丽而最致命的一种，XueTr的图标是所有七种ARK工具中最温柔的，淡蓝色的小图标，让人感觉不到它的威力，但是，它却是七种ARK工具中目前功能最为强大而成熟的一个。
　　XueTr，作者是网络牛人Linxer ，其个人主页是：http://www. XueTr.com/。支持windows 2000——windows 7系统。最新版本为0.37。
　　XueTr目前实现如下功能：
　　1.进程、线程、进程模块、进程窗口信息查看，杀进程、杀线程、卸载模块等功能
　　2.内核驱动模块查看，支持内核驱动模块的内存拷贝
　　3.SSDT、Shadow SSDT、FSD、IDT信息查看，并能检测和恢复ssdt hook和inline hook
　　4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除
　　5.端口信息查看，目前不支持2000系统
　　6.查看消息钩子
　　7.内核模块的iat、eat、inline hook、patchs检测和恢复
　　8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除
　　9.注册表编辑
　　10.进程iat、eat、inline hook、patchs检测和恢复
　　11.文件系统查看，支持基本的文件操作
　　12.查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持
　　13.ObjectType Hook检测和恢复
　　XueTr的文件管理功能强大，有删除占位功能，可以有效防止病毒再生，提供了禁止创建进程，禁止创建线程，禁止创建文件，禁止创建注册表，禁止加载模块，禁止消息钩子注入，禁止关机重启等。对付强劲病毒可以起到大作用。XueTr的功能相当强大，可以结束冰刃和Wsyscheck等无法删除的文件和无法卸载的进程模块。是名副其实的温柔杀手，功能已经全面超越冰刃等工具。
　　第四种武器：多情环——SysReveal
　　SysReveal是ARK工具中的一颗新星，是一个用于查看和分析Windows底层数据结构的工具。功能类似于IceSword,Wsyscheck以及XueTr，SysReveal的目的就是为了对系统进行更深入的研究，学习rootkit技术，提高编程水平。目前最新的版本是v.1.0.0.68。支持WINDOWS 2000——WINDOWS 7的32位操作系统。
　　因为目前有很多的同类工具，SysReveal才刚刚上路，SysReveal支持的比较有特色的功能是：
　　1. 友好的操作界面
　　2. 完全支持Windows 7
　　3. 支持实时的内存查看和反汇编
　　4. 完备的功能 （当然现在还差很远，尚在完善中）
　　以下是SysReveal的功能列表：
　　进程管理进程管理是SysReveal的基本功能，使用SysReveal可以方便的进行进程管理，对进程的模块，线程和句柄进行操作，SysReveal还支持对进程内存的二进制数据显示和反汇编代码显示，同时SysReveal采用了深度的进程检测，可以方便的发现被rootkit隐藏的进程。
　　驱动管理SysReveal可以枚举当前系统正在运行的驱动程序，通过深度驱动检测，SysReveal可以检测到被rootkit隐藏的驱动程序。查看驱动内存时，同样可以选择二进制视图和反汇编视图。
　　内核数据查看SysReveal能够方便的查看诸多系统的关键数据，包括：
　　SSDT
　　Shadow SSDT
　　IDT
　　System Notify
　　Windows hook
　　Driver hook
　　Object hook
　　FSD hook
　　文件管理器SysReveal通过底层驱动构建IRP包来遍历文件系统，从而可以检测到被rootkit隐藏的文件或者目录。
　　注册表管理器SysReveal通过分析HIVE文件的方式来读取系统注册表，从而可以检测到被rootkit隐藏的注册表项。
　　作者主页：http://www.sysreveal.com/ ，作者好像是三个人：Niucool、 James和 Bananas。
　　第五种武器：离别钩——Snipesword（狙剑）
　　“狙剑”是国内最近推出的一款功能强大的安全反黑工具，它提供系统监视、进程管理、磁盘文件管理、注册表检查、内核检查等功能。并且程序自带了很多系统监视功能，可以防止恶意软件对文件及注册表的修改，从而方便地手工查杀木马，是目前少数能与IceSword（冰刃）抗衡的反黑工具之一。作者：linhanshi。
　　虽然，由于狙剑被奇虎360并购，它已经停止了更新，导致狙剑在ARK工具中知名度不高，但是它的实力是相当强悍的，已不在冰刃之下。
　　精简模式操作
　　当运行“狙剑”后，程序会自动缩小到系统栏中，双击图标可以展开软件的精简模式。精简模式包括进程管理、自启动程序管理等一些主要的安全功能。对不熟悉系统内部操作的用户来说，只需单击相应的功能按钮就可以完成所需要的操作。比如单击“进程”标签可以查看当前系统的进程信息，包括那些在任务管理器中查看不到的隐藏进程；单击“主动防御”功能可以有效阻止恶意程序的激活。主动防御的相关规则包括程序运行控制、钩子安装控制、程序写入控制、进程注入控制等。恶意程序做任何规则禁止的操作，程序都会进行拦截并提示用户注意。
　　专业模式操作
　　精简模式操作虽然可以帮助用户解决大部分常见问题，但如果遇到某些棘手问题，专业模式更胜一筹。
　　单击精简模式窗口中的“进入专业模式”命令进入专业模式，它的操作模式和冰刃有几分相似。下面就来看看在专业模式中，常用到的相关功能。
　　以下以查杀木马为例，阐述“狙剑”的使用方法。
　　首先查找进程，因为无论是木马程序还是流氓病毒，只要查找到启动项和相关进程等信息，就可以清除恶意程序的相关内容。
　　在“狙剑”窗口中，单击“内核”下的“进程管理”命令，在进程列表中查看当前系统中的所有进程，包括那些被隐藏的木马服务端程序的进程。
　　单击鼠标右键中的“自动搜寻可疑模块”命令，程序自动扫描分析进程中的模块。该程序主要利用数字签名来进行模块好坏分析，因此没有数字签名的模块就会被检查出来。
　　单击“注册表”下的“自启动程序”命令，可以看到利用注册表、系统服务等多种方式启动的所有信息。在进程列表中找到可疑模块后，单击鼠标右键中的“卸载并删除”命令即可。另外在自启动列表中找到可疑内容，同样单击鼠标右键中的“清除的时候删除文件”命令，这样就可以彻底清除木马程序了。
　　自动修复
　　专业模式中的修复功能更加强大，“狙剑”自带的系统终极修复功能可以将系统还原到初装状态，也就是刚安装完Windows系统后的状态。当修复后第一次重新启动时，硬件驱动还未安装，修复完成后可能会出现桌面空白、较低的屏幕分辨率等状态，此修复并不会删除系统中的任何文件。因为安装的驱动程序其实都还在，只是系统暂时还不能装载而已，在大多数情况下只需要再重启一次，Windows系统就会自动将已经安装的驱动进行重新注册。
　　流数据扫描
　　许多用户在安装系统时都采用NTFS格式，而数据流正是NTFS格式下的概念。有人利用数据流来传播恶意程序，很多安全工具也加入了数据流的扫描检测，“ 狙剑”当然也不例外。单击“文件”下面中的“流数据扫描”命令，就可以发现隐藏在文件流中的病毒并清除，从而让系统变得更加的安全稳定。
　　跟其他ARK工具不同的是，当你点击关闭命令时，狙剑并不会真的关闭退出，而是最小化到桌面右下角继续发挥作用，它可以监控你当前对电脑的操作并弹出对话框让你确认。只有当你点击最小化的狙剑标志并点击退出时，它才会真的退出运行。
　　第六种武器：霸王枪——天琊(Superkill)
　　“天琊”是一款集进程、文件、SSDT服务表、Shadow SSDT服务表、内核模块察看、FSD修复、端口管理、文件关联修复、IE浏览器加载项编辑、映像劫持修复、Inline Hook扫描、安全注册表、保险箱、常见后门程序防范，以及主动防御于一身的强大安全反病毒木马辅助工具。属于ARK工具中的后起之秀，功能全面而强大，软件作者：陈辉。天琊的功能相当强大，名字也相当霸气，用霸王枪来对照它再恰当不过了。天琊支持windows XP、vista、windows 7系统。
　　“天琊”是手动清除木马病毒的利刃。它的主要特点有：
　　1.强大的反隐藏功能（进程隐藏、文件隐藏、注册表隐藏等）使病毒木马在“天琊”面前无所遁形。
　　2.强大的自我保护功能，确保自身遇到邪恶的病毒木马时不受任何影响。
　　3.强大的进程结束能力。不管有多么厉害的病毒木马，在“天琊”面前就象蚂蚁遇到巨人一样，天琊的结束进程能力非常之强悍，与XueTr不相上下。“天琊”提供了多种结束进程的方式，方便对付各种病毒木马。
　　下面主要介绍天琊的几个突出功能：
　　检测隐藏进程功能
　　默认情况下，“天琊”已经可以识别显示出目前大部分采用RootKit隐藏的病毒木马进程，再加上3种枚举进程的方式，使任何使用RootKit隐藏手段的木马病毒进程无所遁形！
　　进程查杀
　　(1)“终止进程”，是天琊强度最低的一种结束进程方式（但是“天琊”里强度最低的结束进程方式也可以轻松结束“冰刃”，“WsysCheck”，“狙剑”等软件）。一般情况下此方式已经足够使用了。如果遇到此方式查杀不掉的进程，建议使用“强制终止”和“超级强杀”。
　　(2)“强制终止”，此方式是天琊里强度比较高的一种进程结束方式，此方式可终止一些顽固的病毒木马进程。此方式结束一个进程失败后（一般标识为隐藏进程，但是其实此进程已经被终止掉了只是WINDOWS还没有处理链表，或者是此进程已经丧失了工作的能力了），不要再次使用此方式试图结束此进程，不然有可能引起系统蓝屏。
　　(3)“超级强杀”，天琊的终极杀手武器，以此方式结束进程，无视任何钩子，也就是说在不恢复病毒木马挂钩的系统API（病毒木马挂钩的系统API是一种自我保护方式）的情况下，天琊也可以轻松结束此病毒木马程序。
　　(4)“特征码终止”，此方式是结合了“终止进程”并且验证进程的“特征码”。当你遇到一些病毒，没有完全识别出病毒木马进程的情况下，试图结束了一个或者多个进程，但是又没有完全结束完所有病毒木马进程的情况下，剩下的病毒程序立即检测到其他病毒程序已经被终止，就马上启动已经被结束的进程，我相信这样的病毒木马程序，大家也曾遇到过很多，非常让人头疼，一些杀毒软件软件也无法彻底清除，往往是清除了又启动了。现在天琊可以轻松解决此类病毒。天琊在按此方式结束了此种病毒程序，就算只结束其中一个没有完全结束完所有病毒木马程序，你也无须担心，可以慢慢的一个一个的把所有病毒程序慢慢找出来，因为就算病毒试图启动被结束的程序也会被天琊拦截住。
　　(5)“特征码强制终止”，工作原理和“特征码终止”一样，只是在结束进程的强度上加强了。
　　(6)“特征码超级强杀”，工作原理和“特征码终止”一样，只是在结束进程的时候是按天琊强度最高的方式结束进程。
　　端口管理：
　　此功能可以察看机器上端口使用情况，从而排查病毒和木马程序。当你发现某个端口异常时可以关闭端口或者强制结束端口使用的进程。
　　文件管理：
　　文件管理提供了隐藏文件（API HOOK方式隐藏的文件）的查看,文件强制删除，破坏文件，解锁文件，复制文件（可以复制特殊文件，比如SAM等注册数据库文件）。
　　“普通删除”：此功能和“DeleteFile”一样。
　　“强制删除”：此功能提供了高强度文件的删除功能，可以删除正在运行中的进程对应文件，和一些使用中的文件。
　　“解锁文件”：此功能可以解除一些恶意或者病毒程序为了达到不让别人删除其文件，把自身文件以独占方式打开，这样其他进程就无法访问其文件，此项功能正好可以解除此类方式锁定的文件。
　　“破坏文件”：此功能可以把一些正常的文件进程破坏，其实应该说是重新填0，此功能清慎重使用，因为此功能可以把一个正在运行中的程序文件破坏。
　　“复制到...”：此功能可以把一个文件或者多个文件复制到一个新目录下。此功能可以过一些进行API进行文件防复制的程序，还可以复制SAM等注册表文件。
　　“解锁并强制删除”：此功能结合了解锁和强制删除功能为一体，这样就算程序正在运行并且锁定了也一样可以把其删除。
　　虽然天琊很好很强大，但是这个霸气十足的ARK工具却有一段时间没有再更新了，最后面世的时间是2009年2月，作者陈辉去向不明，另外据说这个软件将来会走收费的路子，鉴于目前的情况我们只能静候佳音了。
　　第七种武器：拳头——Atool
　　赤手空拳不代表没有实力，排在最后一个出场也不代表它是最弱的一个。Atool，这个毫不起眼、名声并不怎么响亮的工具，却是七种工具中出身最有背景的一个，其它六种工具都是个人的作品，但是Atool却是由著名的国内安全厂商安天公司推出的，实力不俗。Atool最大的特点是在某些设置了系统防火墙、无法加载驱动的情况下仍然可以正常启动，并且功能几乎不受影响。它也是唯一可以在另一个虚拟系统Prayaya V3中正常运行的ARK工具。
　　ATool是安天实验室开发的一款安全管理工具集，包含了多款实用的系统工具，能够实现用户对系统的安全管理，同时针对系统中的木马、后门、黑客工具等恶意程序进行检测并辅助用户进行处理。 ATool专门提供了分析模块，能够实现基于条件加权的未知木马检测体制，对系统中端口、进程、服务、启动项、插件等内容进行严格的行为判断和特征分析，形成对每个文件的受信状态判定。
　　ATool能针对各类常见的主机问题及有害文件进行分析、诊断和处置，同时系统的共享、帐户、补丁等信息进行检查和修复。特别提供了分析模块能够实现基于条件加权的未知木马检测，对系统中自启动项、任务、进程、服务、驱动、端口、SPI、插件、文件系统，注册表等内容进行严格的行为判断和特征分析，形成对每个文件的受信状态判定，用户使用此工具集全方位保护系统和个人信息安全。
　　基本工具
　　自启动项：查看当前系统和软件开机时的自启动配置，关闭通过自启动项进入系统的有害程序。
　　任务管理：查看和管理系统中的任务，并且可一次终止多个同名的任务，比Windows任务管理器更实用。　进程管理：查看进程对应程序的完整路径及所有模块，Atool的Rootkit检测能力是比较好的，进程隐藏检测技术主要采用内存搜索的方法辅助内核对象枚举技术。可以轻松发现和删除有害进程，支持互锁进程的删除。
　　服务管理：查看系统开启的服务的所有文件列表，用户可直接对可疑的服务进行停止和删除。
　　驱动管理：查看和管理当前系统加载的驱动程序，支持删除操作，避免系统资源的浪费。
　　端口管理：显示系统所有开放的端口及使用这些端口的进程列表，同时提供联机端口信息查询。
　　SPI ： 检测系统中网络服务提供商的信息，用户可查看文件是否被修改，并可将被修改文件还原为默认。
　　插件管理：显示系统 ActiveX 插件 的信息和状态，同时为用户提供了对IE插件检查和删除的能力。
　　内核模块：显示系统当前状态下加载的核心模块。
　　内核服务：显示系统当前加载的内核服务，用来检测系统服务是否被其他程序挂钩。 　　文件系统：显示当前文件系统情况，该工具用来检测文件系统是否被挂钩。
　　消息钩子：显示系统中所注册的消息钩子。 　　用户态钩子：显示系统中所有用户层的inline hook,用来检测api相应模块是否被挂钩。
　　共享管理：查看和管理系统中的共享资源，并对这些资源进行关闭。
　　用户管理：查看所有用户的详细信息，删除可能对系统安全构成威胁的帐户。
　　HOST编辑：查看系统中的Host文件，支持删除操作。
　　补丁信息：检测并修复系统漏洞， 便于用户及时对系统安全环节及软件进行升级。
　　文件管理提供了比Windows资源管理器更实用的功能，使用户对操作系统中所有文件包括系统隐藏文件进行查看，并通过受信检查功能对文件进行扫描，签名，全面检查操作，可以综合评定文件的安全级别。
　　Atool最新版本为v1.0.1.5，支持windows XP、vista、windows7等主流系统。
以上简要介绍了这七种工具的应用，现在我已经将其中六种工具打包为云端资源并上传，与大家一同分享。由于我的电脑系统为windows 7系统，Snipesword（狙剑）这款工具始终无法打包导出成功，并且狙剑容易引起小红伞和avast!杀毒软件误报病毒，所以我这里不再提供Snipesword（狙剑）的下载了，请多包含。
六种ARK工具的下载地址：冰刃：http://pjf.blogcn.com/index.shtml


Wsyscheck：http://www.skycn.com/soft/40121.html

SysReveal：www.sysreveal.com

XueTr：www.xuetr.com

Atool:http://www.antiyfx.com/

li13911

这篇文章已经很早的了

keyoushi

真有冰刃和狙剑看不见的，好在powertool八错~

mengld

我就知道冰刃这些属于过去了，xt，pt这些不错

xzhlksh

感觉这个帖子有点年头了、、、

fank123

冰刃已是过去完成式了

walkerman

“狙剑”是国内最近推出的一款功能强大的安全反黑工具，看到这句判断此贴已经比较老了。估计这个帖子不是一次性完成的，后来又加了一部分内容。

kxmp

walkerman 发表于 2013-1-19 21:16
“狙剑”是国内最近推出的一款功能强大的安全反黑工具，看到这句判断此贴已经比较老了。估计这个帖子不是一 ...

那玩意老了

天原

以前大爱狙剑，可惜被收购了，感觉这个帖子编写时间跨度有点长