火绒安全实验室特点介绍:
丰富的程序行为监控点。可以监控文件、注册表、网络、Windows消息以及进程间的操作。同时,针对恶意程序实验室抽象了它们的常见行为,让您可以更快的分析恶意程序。
与著名的“Process Monitor”工具类似实验室提供了便捷的监控信息过滤功能。不同的是实验室过滤功能可以自动过滤大量无用的信息,让您使用起来更容易。
强大的“进程管理”功能,可以轻松查杀被Rootkit保护的恶意程序。
针对恶意程序实验室检测出更多的启动项,让您更轻松的分析问题。
快速、全面的代码钩子扫描功能,可以让您快速定位Rootkit、盗号木马、间谍软件等恶意程序。
包含反汇编、字符串提取等方便的功能,分析问题更方便准确。
火绒安全实验室功能介绍:
1 实时监控
可以监控系统中所有进程的文件、注册表、进程以及网络动作;
可以通过拖入程序到监控页面来监控该程序及其子进程的全部动作和行为;
提供对程序行为的抽象并高亮显示,例如:自我复制行为、自我删除行为、进程入侵行为、注册自启动项等;
对监控到的所有程序动作记录详细的动作信息,包括:
动作发起者进程信息;
程序动作详细参数信息;
发起动作时的调用栈信息;
按照进程关系组织的任务组详细信息;
可以通过对进程信息、程序动作和程序动作参数设置过滤规则,快速定位到需要关注的程序动作和行为
2 进程管理
以列表或树型展示系统中全部活跃以及非活跃进程信息,包括:
进程ID、会话ID、全路径、命令行、当前路径、等基本信息;
进程线程信息;
进程模块信息;
进程打开的句柄列表;
进程相关的网络连接信息;
进程产生的网络流量数据;
以不同颜色区分活跃和非活跃进程;
可以定位进程对应程序文件及查看文件属性;
对活跃进程可以进行结束、挂起、恢复操作;
可以关闭进程打开的句柄;
可以提取进程、模块的内存映像或文件中的全部字符串;
可以搜索系统中全部打开的句柄和加载的模块
3 启动项管理
可以扫描系统中的启动项,并可以对扫描到的启动项进行禁用、启动和永久删除;
支持扫描以下类型启动项:
登陆类(Logon)
浏览器类(Explorer)
IE浏览器类(Internet Explorer)
系统服务类(Services)
内核驱动类(Drivers)
解码器类(Codecs)
Winsock提供者类(Winsock Providers)
打印提供者类(Print Monitors)
本地安全认证类(LSA Providers)
网络提供者类(Network Providers)
启动执行类(Boot Execute)
映像劫持类(Image Hijacks)
AppInit类(AppInit)
已知动态库类(KnownDLLs)
Winlogon类(Winlogon)
输入法类(IME)
计划任务类(Scheduled Tasks)
4 内核诊断信息
内核诊断信息包括以下内核信息:
驱动(设备树)信息(Driver Information)
系统服务表(Service Dispatch Table)
内核通知信息(Kernel Notify)
中断描述符表(Interrupt Table)
高亮提示被修改的内核信息;
5 钩子扫描
扫描内核态IAT、Inline钩子;
扫描用户态IAT、Inline钩子;
可以对指定进程进行快速扫描;
对扫描到的钩子进行指令分析识别多级跳转类型的钩子
|
……