国产成人福利在线视频播放下载,成人无码www免费视频在线看,放荡的美妇在线播放,大地资源网最新更新,国产成人精品日本亚洲网站

 
　　系統(tǒng)監(jiān)控功能用于監(jiān)控和記錄系統(tǒng)中活動程序動作。所記錄的內(nèi)容包括：
1.動作發(fā)起者
2.操作目標(biāo)
3.動作名稱
4.動作參數(shù)
5.操作結(jié)果
動作發(fā)起者通常都是系統(tǒng)中正在運行的程序，監(jiān)控功能記錄了【進(jìn)程名】、【進(jìn)程ID】、【任務(wù)組】這些與動作發(fā)起者相關(guān)的信息。用戶可以針對單個監(jiān)控記錄查看發(fā)起者信息。

 
　　發(fā)起者信息中【任務(wù)組】描述了程序之間的關(guān)系，并且記錄了這些程序?qū)ξ募⒆缘男薷牟僮饕约熬W(wǎng)絡(luò)訪問操作。通過【任務(wù)組】的信息，用戶不需要查找歷史記錄就可以快速了解到程序?qū)ο到y(tǒng)資源的改動。
　　操作目標(biāo)根據(jù)操作的類型不同含意也會不同。當(dāng)動作發(fā)起者產(chǎn)生文件操作時，操作目標(biāo)指的是被操作的文件路徑；產(chǎn)生注冊表操作時，操作目標(biāo)指的是被操作的注冊表路徑；產(chǎn)生進(jìn)程間操作時，操作目標(biāo)指的是被操作的進(jìn)程主模塊文件路徑；產(chǎn)生網(wǎng)絡(luò)操作時，操作目標(biāo)指的是遠(yuǎn)程主機的IP地址或者URL。
　　【火絨系統(tǒng)診斷工具】可以監(jiān)控的動作種類包括文件類、注冊表類、進(jìn)程類以及網(wǎng)絡(luò)類。查看監(jiān)控記錄的詳細(xì)信息時，可以看到動作產(chǎn)生時的調(diào)用棧以及詳細(xì)的調(diào)用參數(shù)，方便用戶找到可能存在問題的程序模塊。

  
     此外，【火絨系統(tǒng)診斷工具】還對惡意軟件常見的行為進(jìn)行了抽象和總結(jié)，并將這些行為列入監(jiān)控功能中，以簡化用戶分析問題的工作量。目前已經(jīng)抽象的程序行為有：
? 釋放PE文件
? 自我復(fù)制
? 自我刪除
? 隱秘執(zhí)行
? 入侵進(jìn)程
? 感染PE文件
? 覆寫PE文件
? 修改注冊自啟動項
當(dāng)程序產(chǎn)生了這些行為時，監(jiān)控列表中將以不同的背景色標(biāo)注這些信息。

 
　　【火絨系統(tǒng)診斷工具】監(jiān)控記錄的數(shù)據(jù)量過多時，用戶可以設(shè)置過濾條件排除無用的記錄。過濾條件有進(jìn)程、路徑、動作這三種類型，其中進(jìn)程與路徑的過濾條件可以使用不同的過濾方法 。

 
進(jìn)程管理

 
　　進(jìn)程管理功能以樹型方式展示活動進(jìn)程以及已經(jīng)退出的進(jìn)程。用戶可以看到進(jìn)程間啟動關(guān)系、進(jìn)程加載的模塊、進(jìn)程的內(nèi)存塊以及進(jìn)程的句柄信息。查看進(jìn)程的詳細(xì)信息，用戶可以了解到進(jìn)程的活動線程以及建立的網(wǎng)絡(luò)連接。

  
　　進(jìn)程管理功能還提供了模塊查找、句柄查找、字符串搜索、數(shù)據(jù)搜索功能，可以幫助用戶快速找到可疑的進(jìn)程以及模塊。
　　針對惡意軟件的自我保護(hù)機制，【火絨系統(tǒng)診斷工具】使用“內(nèi)核純凈化”技術(shù)可以強制結(jié)束進(jìn)程、復(fù)制文件、轉(zhuǎn)儲模塊內(nèi)存數(shù)據(jù)。

啟動項檢查

 
　　惡意程序通常會伴隨系統(tǒng)或者某些應(yīng)用程序一起啟動。 啟動項檢查功能將掃描系統(tǒng)以及部分應(yīng)用程序啟動過程中需要運行的程序，并把結(jié)果以列表的方式展示給用戶?？梢話呙璧膯禹楊愋陀校?BR>? 登錄類
? 資源管理器類
? Internet Explorer類
? 系統(tǒng)服務(wù)類
? 驅(qū)動程序類
? 編解碼器類
? Winsock提供者類
? 打印類
? LSA提供者類
? 網(wǎng)絡(luò)類
? 啟動執(zhí)行類
? 映像劫持類
? 程序初始化類
? KnownDlls類
? Winlogon類
? 輸入法類
? 計劃任務(wù)類
? 側(cè)邊欄小工具類
　　當(dāng)發(fā)現(xiàn)可疑的自啟動程序時，用戶可以禁用或者刪除對應(yīng)的啟動項。如果選擇刪除操作，程序?qū)o法自啟動，啟動項對應(yīng)的信息將會被徹底刪除并且無法恢復(fù)。禁用操作能夠使程序?qū)o法自啟動，同時備份啟動項對應(yīng)的信息，用戶可以恢復(fù)啟動項。

內(nèi)核信息查看

 
　　內(nèi)核信息查看功能展示“驅(qū)動對象信息”、“內(nèi)核服務(wù)表”、“內(nèi)核通知”以及“中斷表”。
　　“驅(qū)動對象信息”以樹形的方式展示系統(tǒng)內(nèi)核中活躍的驅(qū)動對象、設(shè)備對象以及設(shè)備對象的附屬關(guān)系，用戶可以查看這些項對應(yīng)的驅(qū)動模塊信息。
“內(nèi)核服務(wù)表”展示了SSDT、Shadow SDT、Win32K這幾個服務(wù)函數(shù)表，并標(biāo)注了被修改過的地址項以方便用戶找到可能是Rootkit的驅(qū)動程序。
　　“內(nèi)核通知”展示了進(jìn)程通知、線程通知、映像通知、關(guān)機通知。
　　“中斷表”展示了每一個CPU對應(yīng)的中斷表。
　　“內(nèi)核服務(wù)表”、“內(nèi)核通知”、“中斷表”這幾個子功能所列的記錄均可以查看反匯編代碼，用戶可以通過反匯編分析是內(nèi)核服務(wù)、中斷表項以及內(nèi)核通知所指向的代碼是否為惡意代碼。

 
鉤子掃描

 
　　鉤子掃描功能可以檢查“Windows消息鉤子”、“進(jìn)程模塊鉤子”、“內(nèi)核模塊鉤子”，“驅(qū)動對象鉤子”。
　　“驅(qū)動對象鉤子”將掃描特定的驅(qū)動對象數(shù)據(jù)，檢查它們的IRP派發(fā)表、FastIO派發(fā)表以及附加設(shè)備對象。用戶可以通過“驅(qū)動對象鉤子”的掃描結(jié)果分析是否存RootKit或者間諜軟件。
　　“進(jìn)程模塊鉤子”與“內(nèi)核模塊鉤子”會檢查進(jìn)程與內(nèi)核中已經(jīng)加載的模塊是否存在鉤子代碼，可以檢查的掛鉤方式有“IAT”（模塊導(dǎo)入表掛鉤）、“EAT”（模塊導(dǎo)出表掛鉤）、“Inline”（模塊代碼掛鉤）。通過查看鉤子的詳細(xì)信息，用戶可以看到鉤子的原始數(shù)據(jù)、當(dāng)前數(shù)據(jù)以及鉤子指向的模塊等信息。此外，用戶還可以通過反匯編鉤子的代碼分析是否存在惡意代碼。