2024年5月4日发(作者:)

PCHunter_free

一、判断计算机

1、检查计算机是否中毒

2、检查进程的数字签名

手工杀毒工具使用说明

3、检查是否有名称异常且无文件厂商信息的驱动

4、SSDT除常见杀毒软件的

函数

6、IE怀疑中毒,检查IE插件

MBR检测

7、检查启动项、服务项是否有可疑内容

8、鉴于MBR类病毒隐藏很深,可增加

二、进程列表分为七列:

1、映像名称:表示进程名字

2、进程ID:表示进程的Id

3、父进程ID:表示该进程由谁创建

4、映像路径:表示进程路径

5、EPROCESS:表示进程内核对象地址,熟悉点

查看更多的信息,对一般的人,这个地址无视即可

6、应用层访问状态:表示这个进程是否允许其它进程在应用层打开,一般的安全软件为了

保护自己,会禁止其它进程打开自己

7、文件厂商:表示进程主文件由那个公司发布的,由于这个文件厂商信息很容易伪造,因

此这个信息在少数情况下可能会是假的

Windows内核的人,可以通过这个地址

Hook外没有异常信息

RTO除外),检查内核钩子-鼠标-键盘挂钩5、如果用户怀疑自己鼠标键盘被人控制(远程

、PCHunter_free颜色说明:

1.驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数

2.文件厂商是微软的

3.文件厂商非微软的

----> 黑色

----> 蓝色

,对没有签名的模块行---> 粉红色

,会检测其所有模块,如果有,对文件厂商是微软的进程

----> 红色

4.如果您效验了所有签名

模块是非微软的

5.进程标签下,当下方使用模块窗口时

----> 土黄色