天琊使用说明.docx

1、天琊使用说明天琊使用说明“天琊”是一款集进程、文件、SSDT服务表、Shadow SSDT服务表、内核模块察看、FSD修复、端口管理、文件关联修复、IE浏览器加载项编辑、映像劫持修复、Inline Hook扫描、安全注册表、保险箱、常见后门程序防范，以及主动防御于一身的强大安全反病毒木马辅助工具。“天琊”是手动清除木马病毒的利刃。它的主要特点有：1. 强大的反隐藏功能（进程隐藏、文件隐藏、注册表隐藏等）使病毒木马在“天琊”面前无所遁形。2. 强大的自我保护功能，确保自身遇到邪恶的病毒木马时不受任何影响。3. 强大的进程结束能力。不管有多么厉害的病毒木马，在“天琊”面前就象蚂蚁遇到巨人一样，天琊

2、的结束进程能力非常之强悍，可称的上是目前所有进程类软件中最强的。“天琊”提供了多种结束进程的方式，方便对付各种病毒木马（稍候详细介绍）。现在分类说明“天琊”的功能。(一) 进程管理“天琊进程”管理提供了目前最详细的进程信息和进程管理功能。图11(1) 状态：主要用于标识进程状态，有以下分类：1. 正常2. 隐藏（表明进程已经被隐藏，使用常规的任务管理器无法察看到）3. 保护（“天琊”提供保护其它进程的功能，被保护的进程不能被其他任务管理器终止，当“主动防御”开启的情况下，也就是说开启了“保险箱”，这时其他程序无法访问被保护进程的内存和窗口信息，从而达到保护用户隐私信息的目的。）4. 禁止（按“

3、特征”方式结束的进程就会自动添加到禁止列表中，此类程序在“天琊”开启的情况下是无法启动起来的，是对付多个进程守护类病毒非常好的手段）。(2) 映像名：进程的名字。(3) PID：进程的标识符，正常情况下是唯一的，是用于表示进程唯一的象征。但是有些RootKit程序会更改此PID达到保护和隐藏自己，“天琊”能轻松地检测到此类程序，并在“状态”栏有相应的标识。(4) 父PID：即进程的创建者。此项可以方便我们识别伪装成系统同名的一些病毒木马，通过此项判断出异常。(5) 用户名：表示进程的权限，表示了程序运行在哪个用户上。此项也可以察看一些伪装成系统同名的病毒木马，当我们察看到一些进程名称和系统进程

4、同名但是进程用户又不是System用户时，我们就需要注意了，再通过“父PID”就可以大致判断此进程是否为恶意程序了。(6) EPROCESS：一般用户可以忽略，程序自用。(7) 进程路径：进程对应的文件路径，此项可以排查一些伪装系统进程的程序，从而使伪装系统进程的木马病毒无所遁形。“天琊”在获取进程路径上可信度是非常之高的，程序完全从内核方式读取，用户可以放心察看。(二) 检测隐藏进程功能默认情况下，“天琊”已经可以识别显示出目前大部分采用RootKit隐藏的病毒木马进程，再加上3种枚举进程的方式，使任何使用RootKit隐藏手段的木马病毒进程无所遁形！图21(1) “枚举进程方式1”，这是常

5、规方式，程序直接从内核里通过枚举SessionProcessLinks链表而实现。此种方式枚举的进程有个很大的优点，那就是使用此方式枚举的进程会按进程的启动顺序排列起来，排在后面的进程就是后启动的程序。(2) “枚举进程方式2”，这是通过枚举系统句柄表的方式枚举系统进程。（和IS类似）(3) “枚举进程方式3”，这是一种综合的方式，普通用户建议使用此方式枚举进程，此方式可以检测出目前所有的隐藏木马病毒进程。三种枚举进程的方式，可以根据各自需求选择。 (三) 进程查杀 图31图32(1) “终止进程”，是天琊强度最低的一种结束进程方式（但是“天琊”里强度最低的结束进程方式也可以轻松结束“冰刃”，

6、“WsysCheck”，“狙剑”等软件）。一般情况下此方式已经足够使用了。如果遇到此方式查杀不掉的进程，建议使用“强制终止”和“超级强杀”。(2) “强制终止”，此方式是天琊里强度比较高的一种进程结束方式，此方式可终止一些顽固的病毒木马进程。此方式结束一个进程失败后（一般标识为隐藏进程，但是其实此进程已经被终止掉了只是WINDOWS还没有处理链表，或者是此进程已经伤失了工作的能力了），不要再次使用此方式试图结束此进程，不然有可能引起系统蓝屏。(3) “超级强杀”，天琊的终极杀手武器，以此方式结束进程，无视任何钩子，也就是说在不恢复病毒木马挂钩的系统API（病毒木马挂钩的系统API是一种自我保护

7、方式）的情况下，天琊也可以轻松结束此病毒木马程序。(4) “特征码终止”，此方式是结合了“终止进程”并且验证进程的“特征码”。当你遇到一些病毒，没有完全识别出病毒木马进程的情况下，试图结束了一个或者多个进程，但是又没有完全结束完所有病毒木马进程的情况下，剩下的病毒程序立即检测到其他病毒程序已经被终止，就马上启动已经被结束的进程，我相信这样的病毒木马程序，大家也曾遇到过很多，非常让人头疼，一些杀毒软件软件也无法彻底清除，往往是清除了又启动了。现在天琊可以轻松解决此类病毒。天琊在按此方式结束了此种病毒程序，就算只结束其中一个没有完全结束完所有病毒木马程序，你也无须担心，可以慢慢的一个一个的把所有病

8、毒程序慢慢找出来，因为就算病毒试图启动被结束的程序也会被天琊拦截住。(5) “特征码强制终止”，工作原理和“特征码终止”一样，只是在结束进程的强度上加强了。(6) “特征码超级强杀”，工作原理和“特征码终止”一样，只是在结束进程的时候是按天琊强度最高的方式结束进程。 其中后面三中查杀方式是属于进程高级操作中(四) 进程高级功能图41(1) 输入表信息：此功能可以察看进程的输入表信息，此功能可以察看输入表的函数IAT是否正常，有没有被木马程序HOOK了，也可以方便的察看进程调用了哪些模块里的函数，方便分析病毒木马的特征，并且可以让函数直接返回，此功能针对一些无法卸载的模块非常有用。如如果一些病毒

9、木马注入了一些DLL到其他进程，但是此DLL又不能安全卸载（卸载后会使目标进程崩溃）的情况下，我们又想让此DLL的某个功能实效，比如此DLL是监视病毒程序的，一旦病毒程序被终止了就马上启动病毒程序。这样我们就可以把CreateProcessInternalW函数更改，直接让函数返回就OK了，这样就算模块没有被卸载但是此DLL已经失去了它的作用了。(2) Dump主文件：此功能可以把加载在内存中的进程PE文件DUMP到指定文件中，方便分析此进程。因为有些病毒木马是加了壳的，但是有些壳会在程序正常运行后自动恢复，此方式就可以察看到原来PE没被加壳前的情况。(3) Dump内存PE文件：此功能可以D

10、ump出进程的一些资源中保存的PE文件。有些病毒木马对资源文件进行了加壳，只有在病毒运行后才恢复原资源文件，这时我们就可以使用此功能把这些资源文件提取出来了。(4) 特征码杀进程系列：在介绍进程查杀时已经介绍了。(5) 强制删除文件：此功能可以删除对应进程的文件，在不结束进程的情况下强制把进程对应的文件删除。此方式可以对付一些根本无法结束的进程，这样我们把它的进程文件强制删除，然后重启计算机病毒就无法发作了。(6) 破坏文件：此功能可以强制破坏正在运行的进程文件。有时候有些病毒会回写进程文件，当发现自己的进程文件不存在时就会及时回写，这样我们用此方式就可以解决了此类的病毒。(7) 扫描进程钩子

11、：此功能是扫描进程加载模块的函数是否已经被病毒木马HOOK掉了，目前此功能还未提供。(8) 进程内存清零：此功能可以对付一些顽固的进程，在使用了天琊的进程结束功能还无法结束的情况下，大家可以试下此功能，把目标进程的内存请零这样目标进程也就失去了工作的能力了。(9) 添加保护进程：此功能可以保护一个进程不被其他程序意外终止。在开启主动防御（保险箱）的情况下还可以保护用户的个人隐私，比如可以使用此功能保护网银等。(10) 从文件中添加保护进程：此功能可以提供一个浏览文件方式，让你指定被保护的进程文件，当此文件启动时天琊会自动保护此进程。此方式只识别文件特征码，不按路径识别，所以在文件路径发生变化的

12、情况下也有效。(11) 添加阻止进程：此功能可以把一个进程列入黑名单，当下次此程序准备启动的时候，天琊会主动拦截此程序的启动。(12) 从文件中添加阻止进程：此功能可以把一些病毒或者你讨厌的程序添加进此黑名单中，那么就算你无意中运行了此程序，天琊也会阻止其运行。这也是对付病毒木马的一个强力手段。 (五) 进程的线程管理图51 天琊进程线程管理提供了非常丰富的信息，并且提供了两种枚举线程的方式。线程类型：分为两种标识，其中一种是系统线程，另一种是一般线程。有些病毒木马程序通过更改SystemThread标志来达到保护进程的功能，此功能可以轻松察看此类病毒木马所做修改线程。当我们发现非4/8进程中

13、出现了系统线程，那么此线程肯定被木马或者病毒更改了这个标识。TID：线程的标示。ETHREAD：一般用户不需要，程序自用。Teb：线程环境块。状态：表明了线程目前所处于的状态。Priority：线程的优先级别。起始地址：线程第一条指令执行的子。所在模块：线程执行所在的模块。此功能可以清除一些远程注入的DLL，当此DLL又无法安全卸载的情况下，我们可以把它建立的线程干掉让它的线程无法工作。图52 枚举线程方式1： 常规枚举方式。 枚举线程方式2：是一个综合的枚举方式，可以检测目前所有线程隐藏的程序。(六) 进程模块管理图61基址：模块加载的开始地址。模块大小：模块加载在内存中的大小。映像路径：模

14、块对应的文件路径。状态：表明目前模块是否可用。 模块的卸载功能：天琊提供了三种模块卸载方式。卸载：常规的通过远程注入的方式卸载模块。此方式可能会出发安全软件的报警。超级卸载：此方式是完全在驱动层的实现的安全模块卸载方式。此方式不会触发任何安全软件的报警，并能成功卸载指定DLL模块（不能卸载PE自己加载的模块，我们一般要卸载的都是后面其他程序强制加载上来的，此类模块使用此方式可以正常卸载）强制卸载：此功能可以强制卸载PE加载的任何模块。但是此功能也有点缺陷就被卸载的模块在刷新时还显示存在，模块在内存中已经被卸载了，所以大家不要重复卸载被此功能卸载的模块否则会引起蓝屏情况。图62模块的枚举方式：

15、枚举模块方式1：此方式是通过枚举进程PEB来实现，此方式的优点是：模块的显示顺序是按启动先后排列。后加载的模块永远在最后面。 枚举模块方式2：是在驱动层下用NtQueryVirtualMemory方式枚举的，此方式效果非常好，一般隐隐藏的模块都能检测出来。 枚举模块方式3：一种综合的枚举方式，可以检测出目前所有隐藏的模块。模块的查询： 此功能可以让你输入特征串在所有进程中查找满足条件的模块。进程句柄： 此功能可以察看目前进程打开的所有类型句柄。并且可以强制关闭打开的句柄。防止一些程序以独占方式保护文件，或者可以解决一些游戏不能双开情况等等。内存读写：目前版本不提供。(七) 文件管理：图71 文

16、件管理提供了，隐藏文件（API HOOK方式隐藏的文件）的察看,文件强制删除，破坏文件，解锁文件，复制文件（可以复制特殊文件，比如SAM等注册数据库文件）。 “普通删除”：此功能和“DeleteFile”一样。 “强制删除”：此功能提供了高强度文件的删除功能，可以删除正在运行中的进程对应文件，和一些使用中的文件。 “解锁文件”：此功能可以解除一些恶意或者病毒程序为了达到不让别人删除其文件，把自身文件以独占方式打开，这样其他进程就无法访问其文件，此项功能正好可以解除此类方式锁定的文件。 “破坏文件”：此功能可以把一些正常的文件进程破坏，其实应该说是重新填0，此功能清慎重使用，因为此功能可以把一个

17、正在运行中的程序文件破坏。 “复制到.”：此功能可以把一个文件或者多个文件复制到一个新目录下。此功能可以过一些进行API进行文件防复制的程序，还可以复制SAM等注册表文件。“解锁并强制删除”：此功能结合了解锁和强制删除功能为一体，这样就算程序正在运行并且锁定了也一样可以把其删除。(八) SSDT服务表管理：图81 SSDT服务表管理提供了对SSDT服务表的信息察看和修改，可以察看到什么驱动文件对某些函数进行了挂接，并可以进行恢复。程序提供了两种浏览方式：“显示所有服务函数”此功能会把服务表所有函数信息显示出来，包括已经被挂接了的，如果你觉得此方式不能直观的察看被挂接的函数可以使用“显示HOOK

18、服务函数”,此功能会把所有已经被挂接的函数列出来。“恢复选定服务函数”，此功能可以轻松恢复你选择的函数。(九) SHADOW服务表管理： 图91SHADOW服务表管理提供了对SHADOW服务表的信息察看和修改，可以察看到什么驱动文件对某些函数进行了挂接，并可以进行恢复。程序提供了两种浏览方式：“显示所有服务函数”此功能会把服务表所有函数信息显示出来，包括已经被挂接了的，如果你觉得此方式不能直观的察看被挂接的函数可以使用“显示HOOK服务函数”,此功能会把所有已经被挂接的函数列出来。“恢复选定服务函数”，此功能可以轻松恢复你选择的函数。(一十) 内核模块察看: 图101可以察看所有内核模块。(一

19、十一) Inline Hook扫描：图111此版本只针对Ntosxxxx/ntkxxxx进程扫描，下个版本再添加其他文件的扫描.此功能可以察看在Ntosxxxx/ntkxxxx上挂接的Inline Hook，并且可以对其恢复。(一十二) FSD修复：图121 此功能可以察看FSD的HOOK情况，并且可以恢复被挂接的函数。一些病毒木马和恶意软件，会挂接这里来进行期文件的保护和隐藏，从而使用户无法发觉它们的存在。通过察看恢复FSD并且通过文件、进程功能，我们就可以轻松对付此类病毒木马程序。(一十三) 端口管理：图131 此功能可以察看机器上端口使用情况，从而排查病毒和木马程序。当你发现某个端口异常

20、时可以关闭端口或者强制结束端口使用的进程。(一十四) 文件关联：图141 此功能可以察看长用的文件关联，并且可以修复病毒破坏的文件关联。很多病毒会更改文件关联达到启动病毒的作用。或者破坏指定文件关联从而让此类文件无法启动而达到病毒木马邪恶的目的。这时我们可以轻松的修复病毒破坏更改的文件关联。(一十五) IE浏览器加载项：图151 此功能可以察看当IE启动时加载的的模块，从中我们可以检查是否有不正常的模块，从而删除，保证我们的隐私安全。(一十六) 映像劫持：图161 病毒常用的手段。病毒通过更改这里让安全软件无法运行，让启动别的程序的时候默认转到病毒程序等，从而达到在启动程序的时候先启动病毒程序。通过此功能可以修复被病毒更改破坏的项目。