超级巡警介绍

爱·妖姬

一、超级巡警(Anti-Spyware Toolkit)：


软件简介
专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具，提供系统 /IE修复、隐私保护和安全优化功能，提供了全面的系统监测功能，使你对系统的变化了如指掌，配合手动分析可近100%的查杀未知恶意代码. 专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具，提供系统 /IE修复、隐私保护和安全优化功能，提供了全面的系统监测功能，使你对系统的变化了如指掌，配合手动分析可近100%的查杀未知恶意代码！
v4 beta7 改动：
1、增加状态和保护页，方便用户查看本机安全状态。
2、对标签布局做较大改动，并进一步美化界面。
3、设置中增加使用经典界面启动选项，可不使用皮肤，减少资源占用。
4、升级程序支持设置代理!
5、系统修复中增加修复隐藏文件和文件夹选项。
6、启发预警增加托盘闪动选项，主动防御可设置只记录不报警，避免过于频繁提示用户。
7、求助救援处添加登录对话框。
8，修正对autorun.inf过于敏感的问题。
9，解决扫描时一个导致崩溃的BUG.
10，其他细节改动。


主要特色

1)、通用的自动化Rootkit解决方案，不使用传统特征码，即可检测各种利用Rootkit技术隐藏的木马、后门。
2)、全面检测隐藏进程、隐藏服务、隐藏端口。
3)、自动检测和修复Winsock SPI链的相关错误。
4)、系统内核服务描述表恢复，显示和摘除被Hook的内核函数，自动还原被Inline hook的内核函数。
5)、独创的快速匹配算法，在最小的系统资源占用级别上进行最快的扫描检测。
6)、扫描模块和实时监控共用引擎和库在内存中的同一份拷贝，大大降低系统资源占用，模块间高效协同工作。
7)、内存扫描和静态分析预警系统有机结合。
8)、立足于木马家族的广谱特征，强力提高病毒检测率。
9)、前瞻性的主动防御监测体系，全面检测未知木马。
10)、国内首个支持NTFS数据流扫描，使检测更彻底。


主要功能

启发预警，启动管理，IE插件管理，SPI链自动检测与修复，Rootkit检测，服务管理，隐藏服务检测，过滤微软默认服务，服务增加和删除，SSDT (服务描述表)恢复，进程管理，隐藏进程检测，DLL模块强制卸载，检测隐藏端口，断开连接，定位远程IP，WHOIS查询，关闭端口，IE修复，流氓插件免疫，恶意网站屏蔽，系统垃圾清理，智能扫描，文件粉碎机，软件卸载，系统优化，系统修复，右键查毒，漏洞检查和修复，系统诊断报告，论坛救援，启发扫描，NTFS数据流扫描，签名分析，程序执行许可，应用程序防火墙，全面扫描，内存扫描，目录扫描，信任列表，实时监控，智能升级。


二、超级巡警企业版 (anti-spyware toolkit corporate edition )
1、软件简介：

    超级巡警企业版是专门为企业用户开发的一款反木马、反间谍的终端保护与审计产品，继承了超级巡警的各种检测技术，囊括超级巡警个人版的全部特色功能，并且针对企业版用户特点打造专用的client端，易用强大的企业管理中心等等。

2、主要特色:

    ①集中控制，统一调配:
    企业管理中心协调统一控制，可以快速定位哪些ip没有开启超级巡警进行系统保护，可以有针对的向单个ip发送病毒检测和查杀指令，可以控制企业全部主机统一同步进行内存扫描和全面扫描和病毒库升级，实现企业全员同步绞杀木马、后门、间谍软件。
    ②远程诊断，专家把脉：
    给企业管理员提供最方便的操作，管理员可以在管理中心，对经过授权的企业内部主机进行远程系统诊断，无需在企业内部跑来跑去现场诊断问题。使企业用户无需了解反木马、反间谍技巧，专心本职业务工作。



官方网站：http://www.dswlab.com/index.html

[ 本帖最后由 爱·妖姬 于 2008-3-2 22:50 编辑 ]

爱·妖姬

· 超级巡警文件暴力删除工具 v1.1发布，采用内核技术删除文件！..2008年02月22日

· 超级巡警机器狗专杀v1.7，穿透还原修复系统，追杀新变种！.....2008年02月20日

· 超级巡警病毒分析工具(FFI) v1.4发布，新增自动获取导入表功能.2008年02月13日

· 超级巡警之感染下载者专杀 v1.0发布，全面查杀“感染下载者”..2008年01月15日

· 影音巡警 v2.0 发布，新增快速检测和全面检测功能！...........2008年01月15日

· 超级巡警病毒分析工具(FFI) v1.3发布，新增进程DUMP功能！.....2008年01月11日

· 超级巡警V4 RC1发布，国内首创应用程序补丁检查并修复！.......2008年01月08日

· 超级巡警有奖征文大赛正式启动，千元大奖回馈用户！...........2007年12月24日

· 超级巡警虚拟机自动脱壳器(vmunpacker) v1.4.3发布............2007年12月03日

· 超级巡警U盘病毒免疫器 v1.5发布.............................2007年10月18日

爱·妖姬

超级巡警使用问题集锦，建议新用户阅读，最后更新20061228
本FAQ不断更新，最新更新日期为20061228。


1、请问什么是ROOTKIT？

   Rootkit是一种特殊的应用程序，用以获得对计算机的绝对控制，Rootkit和操作系统紧密结合，允许电脑黑客修改系统环境变量和系统内核函数调用顺序，从而在系统程序中隐藏恶意的攻击代码，隐藏恶意系统进程、木马端口、后门文件或其它更多的程序。利用Rootkit技术改造的后门和木马程序，用户使用普通的任务管理器和资源管理器将查看不到任何木马进程和文件，仿佛他们不存在一样，而攻击者可以悄悄的做到任何他们想要在你的计算机上所做的控制操作。Rootkit最初起源于UNIX，今天Rootkit在Windows下正变得越来越流行，给用户带来极大的危害。

   目前国内流行的使用ROOTKIT技术的后门主要有：NTROOTKIT、新版本灰鸽子、PcShare等等，超级巡警是国内首个提供自动化的ROOTKIT检测和清除的工具，在第一次启动的时候会强制检测系统中的使用ROOTKIT技术的木马，您也可以随时通过鼠标右键菜单进行ROOTKIT检测。


2、SSDT是什么，这个模块有什么作用？

　　SSDT是系统服务描述表，在该模块中可以查看和修复系统内核的服务描述表中的相关API，一般来说系统的服务描述表不会被第三方修改，但随着共享软件的增多，许多软件开始挂接修改系统的服务描述表中的函数为自己的函数，用来达到自己的一些特殊目的，这一技术也广泛的被木马、流氓软件利用，主要目的是用来隐藏和保护自身，本模块使的您可以恢复被修改的服务描述表为系统的默认函数，从来取消木马和流氓软件的修改。在列表中你看到红色字样的行，即是被Hook修改了的系统函数，在恢复成功后，该行将以绿色显示。

　　主要有三个功能：

　　①、恢复选择的Hook：恢复您当前行选择的被Hook的函数。
　　②、恢复所有的Hook：恢复全部列表中的函数地址为系统默认函数地址。
　　③、仅显示被Hook的函数：仅仅显示被Hook了的函数，这样便于查看。

    以划词搜索为例来说，划词搜索使用驱动进行注册表Hook和文件Hook，它的两个驱动文件：hcalway.sys和abhcop.sys.sys交叉保护，划词搜索自身的卸载功能不能删除hcalway.sys和abhcop.sys.sys这两个文件，使用Icesword也不能直接删除这两个文件。对付类似的流氓软件使用的底层驱动，可以在SSDT中找到驱动文件，从红色的“当前服务函数所在模块”寻找它们，然后使用“恢复选择的Hook”功能恢复底层函数，恢复后，即可以删除划词搜索的相关注册表服务，然后在重启动，就可以完全删除驱动和其它的文件了。

    对一些使用Rootkit技术的灰鸽子、PcShare木马，你在恢复了SSDT表后，会在进程管理和服务管理中发现一些多出来的项目。

3、端口关联报出我的机子上有隐藏端口，请问我该怎么办？

   端口关联报出隐藏端口后，请在扫描检测中，使用“开始检测Rootkit”功能来进行检查，同时结合进程管理中查找是否有红色的隐藏进程和服务管理中查找是否有隐藏的服务项，利用SSDT来定位。如果这些都没有检测出来，那就是该端口是在检测时使用的，即系统临时开放的端口，可以忽略不管。

4、超级巡警提供我的WinSock SPI有问题，这是怎么回事？

   超级巡警启动后，会自动检查用户系统的WinSock SPI链是否正常，如果发现问题则会提示用户进行修复。此时如果你的系统网络可以正常使用，我们并不建议你进行修复，许多第三方防火墙和SOCK代理转发会作出一些不正确的修改。如果你正好网络访问有一些问题，那极有可能是一些木马/流氓软件破坏了WinSock SPI，我们建议你在“启动管理”→WinSock SPI选项卡中，首先进行“备份SPI链”操作，备份完整后，使用“自动修复SPI链”功能尝试修复，如果修复后依然没有解决问题，那么我们建议使用“恢复系统默认SPI链”功能来强制恢复。一般来说这个时候可以完全修复SPI链存在的问题，当然如果有误操作，您可以随时使用“导入SPI链备份”的功能恢复备份。
   
5、为什么提示我敏感区文件操作？

   木马后门的一个特性就是将文件复制到一些敏感的文件夹中，我们经过长期的分析经验总结出来的综合启发预警，会在木马偷偷进行文件复制的时候，及时提醒您，这样你会对自己系统中细微变化都了如指掌，配合进程管理和启动管理等工具，你可以手动来查杀这些未知的新木马了。

   由于一些软件安装的时候也会进行敏感的文件操作，所以也会提示你，这样你可以很容易的发现有些软件捆绑了别的恶意代码，比如捆绑了流氓软件，本功最适合中高级用户使用。

6、扫描提示发现的木马，但没有清除掉，我该怎么办？

   超级巡警对无法即时清除的木马，会在系统重新启动后进行清除，所以如果你在系统重启动后也无法清除发现的病毒。请在超级巡警的托盘图标上点击鼠标右键，选择上报样本文件，将该木马文件上报给我们，我们会尽快分析该木马特性，并提供解决方案。

   超级巡警提供了对国内的恶意流氓软件检测功能，所以如果你发现超级巡警报的病毒描述中有广告件(ADWare)字样，众所周知，流氓软件使用了很多恶意手段赖在用户系统上，极难清除。针对这种问题，我们会在未来版本中考虑提供专门的流氓软件清除模块，敬请期待。

7、超级巡警支持压缩包的扫描么？

   目前，超级巡警已经全面支持RAR、ZIP、CHM、CAB、等包裹的扫描检测。

8、我发现了误报，我该怎么办？

   一般情况下，我们建议你在超级巡警的托盘图标上点击鼠标右键，选择上报样本文件，将怀疑误报的文件上报给我们，我们会尽快分析证实。同时我们希望你将误报的文件添加到信任列表，这样以后就不会对误报的文件进行扫描检测了。在“扫描检测”→ “设置”→“编辑信任列表”中你可以添加信任的文件和目录。

9、我很喜欢敏感预警的功能，但我不想让他占用我的CPU，我该怎么办呢？

   任何软件只要运行都会耗费CPU运行时间，超级巡警在设计的时候已经尽量考虑CPU占用率问题，目前对CPU的占用主要体现在针对病毒的实时监控上来，您可以禁用实时监控，这样只占用“极低的”CPU时间了，同时其它所有功能都会正常工作，包括敏感预警。


10、我是否可以跟其它杀毒软件安装在一起？

   完全可以!超级巡警设计初衷就考虑了兼容性，我们的目的是与目前市面上的防杀病毒等安全产品构成一套纵深防护体系。它能弥补防杀病毒等产品的缺陷，阻止未知威胁，实现我们终极防护的梦想：)


11、为什么我重新开机后它不自动启动，这是一个BUG么？

   不是，超级巡警的初衷是纯绿色软件，我们不希望在用户不知情的情况下修改用户的系统。如果你想让它开机自动运行，可以在“设置”→“启动方式”中选择“自动随系统启动”。

12、什么时候提示注册表被修改我无需惊慌？

   ①、当实时监控发现病毒后，你点清除按钮，然后弹出来的提示你无需关注。
   ②、当你在设置中，设置本软件为开机自动启动时，弹出来的提示无需关注。
   ③、软件在扫描时，发现了病毒，并且正在清除的时候，弹出来的时候无需关注。
      
13、为什么显示未注册了？

    超级巡警软件更新很快，为了使得老用户能用上最新的发布版本，我们对公开下载版进行了时间限制，到期后将显示未注册，同时不能升级病毒库。这时候您可以到我们网站下载最新的版本进行继续使用。

   
14、除了购买外，我还有其它获取用自己名字注册的序列号的途径么？

   有，你可以通过上报病毒样本来获得注册码奖励，一般来说，我们会确认最新有一定危害级别的样本或者到达一定数量后，赠送给您序列号或其它奖励。并且您撰文发表在杂志、刊物等媒体上，也同样有机会获得我们赠送的注册码。此外，如果你发现软件的一些BUG及时反馈，并有一些我们认可的功能建议，我们也会赠送注册码奖励。

15、发现并清除了我想用的程序，我该怎么办？

   超级巡警默认对所有清除的程序会自动放到自身目录下的隔离区进行备份，你可以随时通过查看隔离区，找到你需要的问题，点“恢复”恢复该文件，这个时候超级巡警可能还会对该文件进行报警。你可以通过“扫描检测”中的“设置”→“其它设置”→“编辑信任列表”，将该文件加入到信任列表中，这样以后超级巡警就不会对该文件进行报警了。

16、什么NTFS数据流，有什么危害？
    NTFS分区的数据流是指在NTFS文件系统中，支持将一个文件特殊的附加到另外一个文件后面，如果不查找流，那么你将无法知道这个文件的存在。NTFS流存在与默认使用NTFS磁盘格式的Windows NT/2000/XP/2003中，目前国内外，只有极少的杀毒软件支持对NTFS的数据流扫描。而在国外，早在2000年,名为29A的病毒组织就写出来一个概念性的流病毒。数据恢复专家涂彦晖在XCON2006会议上指出，国内目前尚无支持流病毒检测的信息安全产品。超级巡警1.4.9版本开始，正式支持对流病毒的检测和清除。

17、为什么启用鼠标右键支持后，发现点击右键有延迟？

    因为我们的鼠标右键扫描不需要超级巡警自身驻留系统中，这比传统杀毒软件要方便得多，鼠标右键菜单自身即是一个方便的查杀引擎，所以在第一次点击的时候会进行一些初始化操作，之后就正常了。


18、超级巡警的为什么只扫描不杀毒？

    超级巡警的默认设置是查出病毒木马后报告显示，但不自动清除，扫描完成后会提示用户来查杀，当然您也可以在设置中进行更改。
   
19、超级巡警扫描时为什么突然崩溃退出？

    由于我们版本更新很快，许多想法和功能不断增加到软件中，这使得我们的软件测试不能面面俱到，所以出错，极有可能正在扫描的文件格式特殊，我们希望您能把崩溃现场一些信息反馈给我们，方便我们重现错误和修正。

20、电脑里面只装超级巡警可以么？

    对于有经验的用户，我们认为只安装了巡警足可以防止木马、蠕虫等病毒。但对于更多的用户，我们还是建议用户配合其它杀毒软件来使用，构筑一道坚固的系统防线。

21、超级巡警和专杀工具刚启动就被关掉了怎么办？

    由于一些病毒作者发现超级巡警可以监测和查杀他们的木马后，针对超级巡警进行恶意攻击，当发现超级巡警的进程和窗口就会关闭，您可以使用其它进程管理工具关闭掉可疑的进程，然后在开启超级巡警来全面查杀。我们会在未来的巡警版本中，加入防止自身被关闭的功能。
   
22、超级巡警可以查杀非木马类病毒么？

    超级巡警可以查杀木马、后门、蠕虫、广告件、黑客工具、色情拨号器等10万种恶意代码，同时针对大范围流行的文件型病毒，也提供查杀功能，包括为用户提供专杀工具。

23、超级巡警新版本安装可以覆盖旧版本么？

    一般来说，完全可以选择覆盖，但我们考虑类似鼠标右键菜单这种模块一般被系统加载，会无法覆盖，所以建议用户卸载删除旧版本，全新安装新版本来使用。

24、怎么加入DSWLAB啊？

     DSW实验室有招聘相关事宜，可在我们网站www.dswlab.com上查看相关文档。如果你有志于安全、反病毒事业，我们欢迎你的加入。
     
25、超级巡警病毒库多久更新一次啊？

    由于我们每天上报样本数量很多，我们提供每周10次以上的升级，必要时每天会提供3-5次升级，超级巡警自身会三个小时检查一次是否有升级更新。
   
26、超级巡警无法升级怎么办？
   
    对于无法升级的用户，我们网站会定期提供离线升级包，只需要解压到指定的目录覆盖即可，充分方便广大用户。
   
27、超级巡警商业版有介绍么？

    超级巡警企业版，完善的企业安全解决方案。具体查看我们网站相关页面。

xhavefun

超级巡警2008，含有流氓插件，我已经将其卸载了。

xiaosese

这样也不错的说
我将二楼删除，以保持文章的连贯

微点卫士

超级巡警的辅助工具好全面啊，微点上市后也要努力啊

心有猛虎

原帖由 xhavefun 于 2008-3-3 09:09 发表
超级巡警2008，含有流氓插件，我已经将其卸载了。

官网上都没有超级巡警2008这个版本，你是自己编写的么？（你这个枪手 ）

超级巡警最新正式版为 超级巡警(anti-spyware toolkit) 4.0 RC1 Build 0125

请大家认清官方下载地址！以免上当！http://www.dswlab.com/download.html

fengnoble

哇，我也想用超级巡警，现在在巡警和360安全卫士之间徘徊犹豫~~~~~

leopeng

超级巡警很不错！支持它！

lvyou

超级巡警

一、软件简介：

1)、杀毒能力再增强，完全媲美于商业软件
中国第一款完全免费的杀毒引擎，450,000 木马与病毒库，保护您远离病毒侵害；
完全兼容其它杀毒软件，系统资源占用小，让您可以自在地给电脑上个双保险；
全面查杀熊猫烧香、维金、灰鸽子、我的照片、机器狗、AV终结者、ARP病毒、盗号木马等流行病毒。

2)、实时保护与主动防御，保护您免除盗号、盗卡烦恼
关键位置保护、程序行为和网络行为监控，让最新的病毒与木马无处藏身；
每天 500,000 在线用户使用，实时保护功能稳定可靠；

3)、补丁检查及自动修复，把您的QQ、暴风、迅雷、联众漏洞一起管起来
国内首创应用程序补丁检查并修复，可以在官方正式补丁前直接关闭存在漏洞；
全面检查操作系统漏洞，精确提供所需补丁，下载速度远超官方升级；

4)、强大直观的分析工具让您具备分析病毒与木马的火眼金睛
电脑高手最喜爱的病毒与木马分析工具，您也可以过把高手瘾；
检查启动项、进程、服务、端口等，并有未知项目高亮显示，禁止进程创建等多种贴心设计；

5)、免费赠送胜过商业软件的辅助功能
ARP防火墙囊括其它同类收费软件全部功能，防护效果好，性能影响低；
系统优化、系统修复、文件粉碎、一键修复IE、隐私清理等功能，只装一个软件，拥有全部功能；