2024年2月5日发(作者:)

系统保护ProcessGuard教程

用过很多系统还原软件,现在自己的系统基本上也算比较安全,其实这种所谓的安全无非是可以让你死了又在几秒内复活,对普通用户而言,造成系统破坏很大程度上是病毒木马引起的,其次就是软件对与系统文件以及驱动的随意更改替换,这些都会造成系统的不稳定和功能的丢失。杀毒软件对与一般软件随意修改系统文件其实也是很不敏感的,很多杀毒软件本身都会被木马杀掉(我没打错字哦),还谈什么保护系统呢?杀毒软件对于新木马新病毒的反应也不尽如人意,用正版江名KV2006的2月3号的病毒库,去检测阿拉QQ 大盗1月28号版生成的木马,结果如下:

碰到这种情况杀毒软件还有任何保护作用吗?

要对付这些新木马,我们当然要有特殊工具了,这就是ProcessGuard(进程守护者),说起来那些写木马的人该惭愧了,从该软件的帮助文件中看,软件是2003年后期发布的,但用它完全可以拦截现在所有的木马病毒甚至Rookit。

软件的安装很容易,先安装原程序,安装完成时“选择稍后重新启动”,把汉化文件粘贴到软件的安装目录下,覆盖掉原文件,再重启,就可以了。

汉化包有这三个文件是要覆盖过去的。

如果不小心在安装时选择了重启,那么重启后必须先退出ProcessGuard,退出之前好要先把软件设置成不保护状态,关闭这两个进程。

再把汉化文件覆盖原文件,比较麻烦,所以安装时还是注意一下。

这个软件的使用可以用非常麻烦来形容,不过只是刚开始时侯有些麻烦,慢慢熟练了就好了。

在设置中我们最好先选择上学习模式,不选择“保护开启”,这时候ProcessGuard(PG)并不会对你的操作进行太多拦截,该软件可以在你使用其他软件的过程中逐步学习各程序的行为规则,对什么程序什么行为该放行有各选择,这里不要选上“拦截新建或修改应用程序”,选上这个以后基本上所有程序都无法运行了。如果不小心选上了,在PG里修改一下就行了。

把你平时的应用程序都运行一下,现在可以取消学习模式,选上保护开启了。

其实在学习过程中最重要的就是学习“拦截全局钩子”,基本上涉及到文字字符输入,有文本框的地方都存在“全局钩子”。

我们切换到程序主项目中的“保护”选项卡:

在这里我们可以对各个程序的权限进行设置,例如QQ、记事本,我们要允许它“安装全局钩子”,优化大师我们要允许它“访问物理内存”,任务管理器我们要允许它“终止保护的应用程序”(否则无法关闭不响应的进程)。对于系统的核心进程,软件都给我们配置好了,我们一般只要对应用程序进行配置,其实PG很像是一个进程防火墙,它的使用也很像防火墙的使用。

再切换到“警报”选项卡,可以看到过去运行的记录。

“安全”选项卡也差不多。

其实我还是建议普通用户在做好系统备份或者有还原软件的情况下使用这款软件,因为它对进程的控制是处于一种驱动级地位的,误操作可能会造成比较严重的后果。当然,它对系统的控制肯定不会高过还原软件的。举个例子,系统注销时会新调用一个进程,如果PG拦截住该进程的时侯用户选择了“禁止”,那么你别想注销系统。

下面就是我用PG拦截那个阿拉QQ大盗的全过程。

首先,我们关掉江名,同时关掉它的服务,留下了一个,这是对U盘自动杀毒用到的程序,没有监控查杀病毒木马的作用,留它只是为了测试。

配置QQ大盗时我们选择上运行后关闭QQ,摧毁防火墙(其实也会摧毁杀毒软件)。

运行,第一步拦截生成的,

我们允许它运行。

第二步,PG拦截了安装后生成的真正的核心木马文件。

同时还拦截了一个(命令提示符),

我们转到“警报”那里查看记录,

原来是一个批处理文件,在文件夹选项中选择“显示所有文件”,去除“隐藏受保护系统文件”,找到这个文件,看到内容如下:

:try

del "F:下载目录"

if exist "F:下载目录" goto try

del %0

原来这个批处理是用来删除这个安装文件的,删除之后会删除自身。(我们前面选了“安装后删除自身”)

根据PG的记录,我们可以找到这两个文件

先关闭进程,然后删除这两个文件,不会有任何残留,就和没运行木马一样。

如果我们事先不知道就是木马程序的话(我想大部分家庭用户并不会对木马的文件名有如此详尽的了解),我们可能会对这个程序放行,那么我们还能拦截木马吗?当

然可以!

下面就是对放行后的拦截记录。

首先是拦截了创建全局杂志记录的钩子(这个可能是软件翻译问题,“杂志钩子”这个词还是第一次看到),没有足够的权限创建钩子,QQ大盗也就无法捕获我们登录QQ时通过键盘输入的密码(如果用软键盘,那基本上所有密码截获软件都会失效,除非是嗅探型密码截获),这样QQ大盗也就盗不了什么了。

然后是拦截关闭QQ进程(我们前面设置过的60秒后关闭QQ)。QQ大盗是在QQ登录时才能截获木马的,所以设计这个功能让QQ莫名奇妙的关闭,不知情的就会重开QQ,再次输入密码时就被盗了。(这里也提醒一下网吧的朋友,开机时最好检查一下有没有这个进程,如果有就要注意了,如果你是在登录QQ后不小心中了木马,那么千万不要退出QQ重登录,如果QQ自动关闭,一定不要再登录,重启让还原卡把木马还原掉)

下面PG的工作就很多了,它拦截了几十次安装新服务企图

看看上面和下面的服务列表,有没有你熟悉的,这些全都是杀毒软件的服务,个人猜测这可能是在枚举系统中可能存在的杀毒软件的服务,并且用替换服务的方法关闭杀毒软件同时又实现开机自启动。玩过Radmin服务端配置的都知道这个伎俩,其实是Radmin通过服务启动的最佳方式。例如在Windows2K中有一个Fax(传真)服务,基本上用不到,默认也是关闭的,我们就可以修改注册表,把Fax服务指向的程序修改成我们的木马程序,再利用来启动这个服务,神不知鬼不觉,没有增加任何服务就完成了木马的启动,同时真正的Fax也彻底失效了。其实还尝试关闭,也就是江名的一个进程,由于时间太短,没来得及截图。当你发现一个进程企图创建全局钩子,企图关闭QQ,企图关闭杀毒软件,企图建立几十个新服务的时侯,这还会是一个正常进程吗?这个时侯手工把它关闭再删除就行了。

再主菜单中点击“锁定”,可以建立一个密码,避免别人修改软件设置,要知道这个软件的记录下的规则可是拦截木马最重要的依据,设定密码后要修改设置必须再点“解锁”,输入密码后才行

下面谈一下卸载,说实话这东西的卸载和冰点还原还真像。必须先关闭该软件对系统的保护(就是再主菜单中取消“开启保护”)

关闭保护后PG的图标上就有一个红叉(这点也和冰点很像)

再图标上点右键,选择“退出”,这时候你才能卸载该软件,这个设计虽有些麻烦,但也足见程序员的细心。

总的来说,这个款软件并不是那么适合普通用户使用,但对于木马防护有一定了解的人来说,其效能远远大于任何杀毒软件,真正做到彻底防毒,此外,该软件对于分析木马行为也是有很大帮助的,从上面的拦截过程我们基本上可以了解QQ大盗的工作流程,对其他木马也是一样可以监控到的。