網(wǎng)站首頁企業(yè)百科 產(chǎn)品百科 技術(shù)百科 人物百科
目錄
Malware Defender使用幫助
Malware Defender主要功能
Malware Defender 是一個 HIPS (主機(jī)入侵防御系統(tǒng))軟件,它可以有效的保護(hù)您的計(jì)算機(jī)系統(tǒng)免受惡意軟件(病毒、蠕蟲、木馬、廣告軟件、間諜軟件、按鍵記錄軟件、rootkit 等)的侵害。目前,360公司已收購Malware Defender。Malware Defender 也是一個 rootkit 檢測軟件,它提供了很多有效的工具來檢測和刪除已經(jīng)安裝在您的計(jì)算機(jī)系統(tǒng)中的惡意軟件。
無論您是否是一個計(jì)算機(jī)專家用戶,Malware Defender 都是您保護(hù)您的系統(tǒng)的理想選擇。
Malware Defender
主要功能:一、實(shí)時保護(hù)系統(tǒng):監(jiān)控對進(jìn)程、文件和注冊表的可疑操作。
能夠檢測到各種已知和未知的惡意軟件。 提供學(xué)習(xí)模式和安靜模式。
比較高的性能和比較低的資源占用。
二、進(jìn)程管理器:
檢測隱藏進(jìn)程和線程。
檢測未通過簽名驗(yàn)證的進(jìn)程和模塊。
使用底層技術(shù)結(jié)束進(jìn)程和線程。
Malware Defender安裝界面
掛起/恢復(fù)進(jìn)程和線程。卸載進(jìn)程模塊。關(guān)閉進(jìn)程句柄。
三、內(nèi)核模塊管理器:
檢測隱藏內(nèi)核模塊和內(nèi)核線程。
檢測未通過簽名驗(yàn)證的內(nèi)核模塊。
結(jié)束、掛起或恢復(fù)內(nèi)核線程。
刪除內(nèi)核延遲調(diào)用定時器。
四、鉤子檢測器:
檢測并恢復(fù)系統(tǒng)服務(wù)表鉤子(SSDT鉤子)。
檢測并恢復(fù)Win32K服務(wù)表鉤子(shadow SSDT鉤子)。
檢測并恢復(fù)中斷描述表鉤子(IDT鉤子)。
檢測并恢復(fù)SYSENTER處理例程。
檢測并恢復(fù)內(nèi)核對象鉤子。
檢測并恢復(fù)系統(tǒng)通知例程。
檢測并恢復(fù)內(nèi)核模式代碼鉤子。
檢測并恢復(fù)用戶模式代碼鉤子。
檢測并恢復(fù)全局消息鉤子。
檢測附加設(shè)備。
檢測驅(qū)動程序分發(fā)例程。
五、自動運(yùn)行程序管理器:
搜索所有已知的自動運(yùn)行程序所在位置。
檢測隱藏自動運(yùn)行程序。
檢測新增的自動運(yùn)行程序。
允許撤銷和重做對自動運(yùn)行程序的刪除操作。
六、文件瀏覽器:
檢測隱藏的文件和文件夾。
顯示和刪除NTFS數(shù)據(jù)流。
刪除使用中的文件。
七、注冊表器:
全功能注冊表器。
檢測隱藏注冊表?xiàng)l目。
Malware Defender軟件安裝
系統(tǒng)需求:
Windows 2000 (Service Pack 4)
Windows XP (32-bit)
Windows 2003 (32-bit)
Windows Vista (32-bit)
Windows 2008 (32-bit)
Windows 7 (32-bit)
Windows8(32-bit)
Windows8.1 (32-bit)
Windows10(32-bit)
安裝
執(zhí)行下載的安裝程序。
卸載
執(zhí)行開始菜單Malware Defender 中的 'Uninstall',或者在控制面板 '添加/刪除程序' 中雙擊 'Malware Defender'
軟件帶有幫助文件,可以使用幫助文件認(rèn)識軟件主要功能與選項(xiàng)
Malware Defender快捷鍵
下表列出了 Malware Defender 中的快捷鍵。
快捷鍵 | 說明 |
F1 | 打開幫助文件 |
Alt + F4 | 退出 Malware Defender |
Alt + Enter | 打開屬性對話框 |
Ctrl + A | 選中列表中的全部項(xiàng)目 |
Ctrl + Z | 撤銷步操作 |
Ctrl + Y | 重新執(zhí)行先前已撤銷的操作 |
Ctrl + C, Ctrl + Ins | 復(fù)制被選內(nèi)容并將其置于剪貼板上 |
Ctrl + X, Shift + Del | 剪切被選內(nèi)容并將其置于剪貼板上 |
Ctrl + V, Shift + Ins | 插入剪貼板內(nèi)容 |
Del | 刪除被選內(nèi)容 |
F2 | 重命名被選內(nèi)容 |
Ctrl + F | 打開查找對話框 |
Alt + D | 激活地址欄 |
Ctrl + H | 顯示或關(guān)閉進(jìn)程句柄窗口 |
Ctrl + M | 顯示或關(guān)閉進(jìn)程模塊窗口 |
F4 | 激活地址欄并顯示地址歷史列表 |
F5 | 刷新顯示 |
F7 | 在MDI窗口和當(dāng)前浮動面板窗口之間切換 |
Ctrl + F7 | 切換到下一個浮動面板窗口 |
Ctrl + Shift + F7 | 切換到上一個浮動面板窗口 |
Tab | 在各MDI窗口中的切分窗口之間切換 |
Ctrl + Tab | 切換到下一個MDI窗口 |
Ctrl + Shift + Tab | 切換到上一個MDI窗口 |
Alt + Up Arrow | 在文件或注冊表窗口中顯示上一層內(nèi)容 |
Alt + Left Arrow | 跳轉(zhuǎn)到訪問歷史中的前一項(xiàng) |
Alt + Right Arrow | 跳轉(zhuǎn)到訪問歷史中的下一項(xiàng) |
Ctrl + Alt + Up Arrow | 減小規(guī)則優(yōu)先級 |
Ctrl + Alt + Down Arrow | 增加規(guī)則優(yōu)先級 |
Applications key, Shift + F10 | 顯示上下文菜單 |
Malware Defender規(guī)則概述
Malware Defender使用規(guī)則來決定當(dāng)檢測到可疑操作時如何處理,您應(yīng)該理解規(guī)則的工作原理,并且仔細(xì)管理規(guī)則,尤其是名稱為“*”的默認(rèn)規(guī)則。如果賦予默認(rèn)規(guī)則不恰當(dāng)?shù)臋?quán)限,將影響系統(tǒng)的安全,所以一般不要修改默認(rèn)規(guī)則的權(quán)限。
規(guī)則狀態(tài)
規(guī)則狀態(tài)有如下幾種:
已啟用- 已啟用的規(guī)則。
已禁用 -已禁用的規(guī)則。
臨時的- 已啟用的臨時規(guī)則。
臨時規(guī)則將在進(jìn)程退出時自動刪除,如果您對臨時規(guī)則執(zhí)行啟用或禁用操作,它將成為一個規(guī)則。
規(guī)則權(quán)限
每個規(guī)則的基本權(quán)限如下:
讀權(quán)限- 用于文件規(guī)則。(如果讀權(quán)限為阻止,修改、創(chuàng)建及刪除權(quán)限也將強(qiáng)制為阻止。)
創(chuàng)建權(quán)限- 用于文件規(guī)則。(允許創(chuàng)建權(quán)限將允許新建不存在的文件,并且在文件關(guān)閉前默認(rèn)允許修改文件。)
刪除權(quán)限- 用于文件規(guī)則。
修改權(quán)限- 用于文件規(guī)則或注冊表規(guī)則。(對于文件規(guī)則,包含設(shè)置隱藏屬性和修改權(quán)限操作;對于注冊表規(guī)則,包含創(chuàng)建 ,刪除和修改屬性操作。)
執(zhí)行權(quán)限 -用于鉤子模塊規(guī)則、驅(qū)動程序規(guī)則或應(yīng)用程序規(guī)則。
權(quán)限類別
權(quán)限有以下可選的類別:
允許- 允許執(zhí)行當(dāng)前操作。
阻止- 阻止執(zhí)行當(dāng)前操作。
阻止并結(jié)束進(jìn)程- 阻止執(zhí)行當(dāng)前操作,并且結(jié)束執(zhí)行操作的進(jìn)程。(系統(tǒng)應(yīng)用程序不允許被結(jié)束進(jìn)程)
詢問 -詢問用戶。
忽略 -繼續(xù)搜索其他較低優(yōu)先級的規(guī)則。
規(guī)則優(yōu)先級
當(dāng)添加一個規(guī)則,Malware Defender將賦予其同一類型中的優(yōu)先級,但是您可以使用上下文菜單或者鼠標(biāo)拖放來修改優(yōu)先級。
對于文件、注冊表和網(wǎng)絡(luò)操作,應(yīng)用程序規(guī)則中的 文件/注冊表/網(wǎng)絡(luò) 規(guī)則優(yōu)先級高于全局 文件/注冊表/網(wǎng)絡(luò) 規(guī)則。
內(nèi)置規(guī)則
內(nèi)置規(guī)則顯示為特殊顏色(默認(rèn)為藍(lán)色),所有內(nèi)置規(guī)則不允許被刪除,內(nèi)置應(yīng)用程序規(guī)則不能被禁用。
在規(guī)則中使用通配符
您可以使用 '*' 和 '?' 作為通配符,'*' 表示零個或多個字符,'?' 表示任意單個字符。
在使用通配符匹配文件目錄或注冊表項(xiàng)時有一個特例,例如對于文件夾“c:\xxx”,“c:\xxx\*”可以成功匹配。
在規(guī)則中使用相對路徑
您可以在文件規(guī)則、子應(yīng)用程序規(guī)則、目標(biāo)應(yīng)用程序規(guī)則、驅(qū)動程序規(guī)則、鉤子模塊規(guī)則、動態(tài)鏈接庫規(guī)則以及允許執(zhí)行的應(yīng)用程序中使用相對路徑。相對路徑必須以".\"(當(dāng)前目錄)或"..\"(父目錄)開始,可以包含多個"..\"。
在規(guī)則中使用環(huán)境變量
本軟件自動處理環(huán)境變量。當(dāng)保存規(guī)則文件時,文件路徑中如果包含環(huán)境變量對應(yīng)的字符串,此字符串將以環(huán)境變量代替。當(dāng)加載規(guī)則文件時,文件路徑中的環(huán)境變量將自動展開。
本軟件支持以下環(huán)境變量:
%TEMP% %APPDATA% %USERPROFILE% %ALLUSERSPROFILE% %ProgramFiles% %SystemRoot% %SystemDrive% 組
組用來管理需要設(shè)置為相同權(quán)限的規(guī)則對象。當(dāng)您創(chuàng)建了一個組時,它并不會顯示在規(guī)則窗口中,您必須創(chuàng)建一條規(guī)則來使用它。組也可以用于應(yīng)用程序規(guī)則中的子應(yīng)用程序規(guī)則、文件規(guī)則和注冊表規(guī)則。
應(yīng)用程序組中的成員可以擁有私有的權(quán)限設(shè)置,并有著更高的優(yōu)先級,只有當(dāng)組成員的權(quán)限設(shè)置為“忽略”時,才使用組的權(quán)限設(shè)置。
規(guī)則匹配方式
規(guī)則從高優(yōu)先級到低優(yōu)先級(從下向上)進(jìn)行搜索,如果找到一個匹配的規(guī)則,就檢查其權(quán)限,如果權(quán)限不為“忽略”,則停止搜索,否則繼續(xù)搜索其他規(guī)則。
如果檢測到一個創(chuàng)建進(jìn)程操作,本軟件還將查找子進(jìn)程匹配的應(yīng)用程序規(guī)則,如果匹配規(guī)則的執(zhí)行權(quán)限不為“允許”,并且規(guī)則優(yōu)先級高于父進(jìn)程匹配的規(guī)則,則使用子進(jìn)程的執(zhí)行權(quán)限。
Malware Defender常見問題
什么是Malware?
Malware是英文“malicious software”的簡稱,意思是惡意軟件,是指任何對計(jì)算機(jī)系統(tǒng)有害的軟件。因此, malware包含病毒、蠕蟲、木馬、廣告軟件、間諜軟件、按鍵記錄軟件、rootkit等。
什么是HIPS?
HIPS是英文“Host Intrusion Prevention System”的縮寫,意思是主機(jī)入侵防御系統(tǒng),使用基于規(guī)則和行為的監(jiān)控來防御對系統(tǒng)的非法修改。HIPS可以與傳統(tǒng)殺毒軟件一起使用,為您的計(jì)算機(jī)系統(tǒng)提供多一層的保護(hù)。
為什么下載內(nèi)核符號文件失敗?
主要有兩種可能的原因。一種原因是MD由于網(wǎng)絡(luò)問題無法連接微軟的公共符號服務(wù)器。另一種原因是符號服務(wù)器上不存在對應(yīng)的內(nèi)核符號文件,例如微軟一般不為測試版的Windows提供符號文件。如果沒有內(nèi)核符號文件,一些ARK功能將不能使用,但是所有的HIPS功能都不受影響。
參考資料
相關(guān)搜索relevant search
目錄