本篇告诉你家鸽小助手是什么:
这是一款什么样的软件?
1. 这是一款类似Wsyscheck、IceSword等安全辅助查找病毒的软件。本软件实现了Wsyscheck、IceSword的大部分功能,很多反病毒功能针对性的加强,可以说使用更方便。最重要一点本程序一直在坚持开发和完善本软件。
2. 这是一款类似Windows 任务管理器的软件。如果您对本软件病毒没太大兴趣,那您可以把程序看成一款加强实用版的Windows任务管理器,本程序可以很好的替换/恢复Windows自带任务管理器。
3. 这也是一款帮您成为软件/反病毒高手常备的软件。每个命令操作都有相关说明和详细帮助。只要您有信心,成为软件/反病毒高手为时不远。
基本功能:
1:应用程序模块
显示当前活动窗口信息。
2:进程模块
在用户模式下能显示大部分隐藏进程。进程用不同颜色表示,其中红色显示的是非系统的进程或文件,蓝色显示表示是系统程序且进程里面插入了其他DLL模块(例如:Explorer.exe)。隐藏进程也用红色来标识,但在进程名旁边加入“(隐藏)”二字。进程管理模块大部分功能在鼠标右键,包含目前用户模式下最强的“内存清零”终止进程法。其次,双击一个进程可以列出进程的详细信息,包含进程模块信息。值得说明一下的是,查看进程模块信息功能和目前绝大多数工具查找模块方法不同。它是通过暴力搜索进程内存空间,并过滤后得到的模块信息,故能得到很多隐藏模块信息。
3.性能模块
用图表显示CPU,和内存记录。支持双核CPU信息和硬件信息显示。
4.联网模块
用图表显示当前网络速度,得到当前网络各种信息。
5:基本(信息)模块
包含下面子模块。
5.1 启动模块
可以查看并管理启动程序,并能查看许多隐藏的信息!
5.2 系统修复模块
用来修复被病毒破坏的常见文件关联、系统设置等操作。
5.3服务模块
用于管理Windows常见服务和驱动服务。红色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。对于以svchost.exe启动的服务,文件路径显示的是该服务文件而非svchost.exe的路径。删除服务则是删除服务键值(不提供删除前的保存,也不能恢复。所以,要删除你得去确定是否真要这么做!)
5.4 Auto病毒清理模块
用于清理和免疫目前流行的AUTORUN类型病毒。含4个子窗口:“AutoRun病毒管理”,“程序劫持管理(IEFO)”,“HOST 文件查看”,“WinSock 文件查看”。一般病毒都会在四个位置留下痕迹,特别是U盘型病毒。
“AutoRun病毒管理”,用于查看每个盘。AutoRun.inf文件信息,以及其文件上自动启动的程序文件信息。
部分功能说明:
1)“AutoRun 简单免疫”:在注册表里设置权限,使在双击进入任意磁盘图标时不执行AutoRun.inf文件。此操作对系统无危害!
2)“AutoRun 加强免疫”:对大部份程序的开机起动项进行免疫。这样大部分病毒也无法开机自动运行,不过这样也会让正常程序也无法开机自动启动。您可以先让正常程序先设置好开机启动,然后再执行该操作。对电脑操作熟悉的用户可使用此操作,建议和IEFO免疫一起都运行。
“程序劫持管理(IEFO)”,用于查看,编辑和免疫IEFO信息。当你的杀毒/安全软件莫名不能启动了,或者启动的却是一个病毒。那么你可能病毒IEFO了。至于什么是IEFO?它一个很强也很暴力的东东,基本上对任意程序有效果,包括安全软件和病毒。至于IEFO怎么解释以及原理,有兴趣的朋友可以百度一下。这技术的简单且暴力,当这技术被病毒利用了那可不是个好事,故本程序提供IEFO管理。这里顺便提一下,本程序的“进程”模块中的“禁止此程序运行”也是利用IEFO安全强大的一面。
部分功能说明:
1) “常见IEFO修复”:修复常见IEFO劫持,当一个程序被劫持后十有八九是不能正常启动的。本功能修复内置140种常见安全软件的IEFO劫持,并清除劫持的程序。
2)“所有IEFO修复”:修复所有IEFO劫持,但不删除其劫持的程序。注意:可能正常程序也会被修复。
3) “IEFO免疫”:通过对注册表IEFO项设置,防止病毒对正常程序劫持。当然你也可以取消IEFO免疫。
“HOST 文件查看”:如果您打开一个您熟悉的网页,忽然转到其他不正常网页。那么您很可能被HOST文件劫持了。通过这个窗口你可以管理HOST文件,还可免疫HOST文件。
“Winsock 文件查看”:如果您上网设置是正确的,可只能上QQ不能看网页,试试这个WINSOCK管理。内置Winsock修复,用于修复被损坏的TCP/IP协议。
5.5 端口显示模块
一个程序要想和外面程序联系,必然会打开TCP/IP端口。本模块功能就是管理当前网络所有开启端口。
5.6 文件模块
查看当前系统文件列表的模块。大部分操作在内核中执行,可以有效显示被RootKit类病毒隐藏的文件、文件夹。
文件属性:字母A:代表 “归档”属性、 字母S:代表 “系统”属性、字母H:代表 “隐藏”属性、字母R:代表 “只读”属性、
字母C:代表 “压缩”属性、 字母T:代表 “临时文件”属性、
6:高级(信息)模块
6.1: 文件监视模块
可以监视文件的变化,一般用于木马删除和在网页监视流媒体。支持多点监视例如:”c:|d:“将同时监视c盘和D盘的文件变化。
6.2 活动文件模块
可以显示系统活动文件。
IE辅助插件(BHO: Browser Helper Objects),指的是浏览器的辅助模块(或称辅助对象),这是一些扩充浏览器功能的小插件。这里面鱼龙混杂,诺顿杀毒、goolge等都可能出现在这里,而这里也是一些间谍软件常出没的地方。
BHO注册表路径:HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
IE Toolbar:这是IE工具条位置。HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar
6.3 SSDT模块
SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。
本模块包含查看,管理SSDT。
部分函数说明:
ZwTerminateProcess:如果挂钩本函数,那么大部分用户级别的程序将无法终止挂钩程序。
ZwOpenProcess: 如果挂钩本函数,那么大部分用户级别的程序将无法正常打开挂钩程序,如果无法正常打开挂钩程序,自然无法操作挂钩程序。例如:终止进程操作。
6.4 系统监控 模块(测试中…)
采用内核HOOK方式,监控如下系统操作:1.文件新建 2. 创建/写入注册表键 3.进程创建。 本模块可以禁止或者手动控制上面操作。
这个模块现在怎么用?例如:
在一台有很多病毒的机器上,一些垃圾病毒经常终止以后又重新随机换个名字启动。这原因是该病毒有进程和线程在保护其不被终止。遇到这样的病毒怎么办?可以开启“文件新建监控”,选择“默认禁止”或者“询问再操作”,这样病毒不会自动复制自己,这样你可以慢慢来看和处理病毒。同理,你一样可以开启“进程创建监控”,这样病毒不会自我运行。