ESET SysInspector 是 ESET 出品的分析电脑作业系统、处理程序、登录档和网路连接的免费应用程式,是一个最先进的易于使用的基于 Windows 系统的诊断工具。可以深入分析你的操作系统的各方面,包含了正在运行的进程,网络连接,重要的注册表项目,服务,驱动,关键文件,文件详情,它使得你的系统完全透明,便于你作进一步操作。
它可助你轻松地收集电脑中的系统数据并储存成纪录档,再送往技术支援专家分析,作威胁评估。
简单来说,你可以藉由ESET SysInspector汇出的记录档,把电脑中所收集到的系统数据和资料传送给IT专家作分析和威胁评估。这不但帮助你比以前更快捷和客易处理电脑中的恶意程式,而且同时亦维护了客户个人隐私的需要。因为汇出记录档时,你可选择ESET SysInspector替你排除所有私人资料、机密数据和重要档案,所以就算记录档内容被张贴于一些电脑技术讨论区时,使用者也不用担心隐私会被泄漏出去。
ESET SysInspector的简单应用1、界面所包含的信息
打开界面后,我们看到一个“花红柳绿”的界面,但是不要小看这些颜色,因为它们代表不同的风险等级,具体含义。
ESET SysInspector界面所包含的信息
可以看出,基本上,绿色代表安全和良好,橙色代表未知和有一定的风险,红色代表危险(不是绝对的,还要结合其它工具以决定是否是真的风险)。
2、单击左侧的项目,就会展开详细信息
这是打开正在运行的进程时,打开的项,黄色代表有可能风险。。
3、单击左侧可能存在风险的进程,右边就会显示出加载的模块信息
其中可能存在风险模块用不同颜色标明,单击相应模块,下方显示加载DLL的文件指纹 SHA1信息,写入修改时间等,便于进行比对。
4、风险的筛选技巧
对于绿色的项我们不必担心;对于橙色的项,我们只需留心;对于危险的项(红色),我们就该费费心了。单击筛选拖动块,就可以筛选出相应风险等级的项了。
5、启动组和外壳程序打开命令:
可以非常清晰的看出启动组加载的情况,定位恶意程序启动的位置和嵌入外壳的打开命令,MediaPlayer的外壳程序打开命令。
6、外壳程序执行钩子
许多木马和间谍软件光顾的地方:(但杀软也会如此做,不要草木皆兵)
这里显示了一个叫做deskpan.dll的风险项,搜索得到
deskpan.dll
Display Panning CPL Extension
Brief description of process
deskpan.dll is going to be reviewed by our specialists. If you are using world wide web, receiving e-mails, downloading files from internet or loading applications from external disks and not using resident antivirus application, there is a huge potential risk to be infected by malicious software, like computer virus, trojan or spyware.
可以看出,它很有可能被木马或者间谍软件感染,ESET用橙色提示你要留心,但这不一定表明已经被感染,我到国内的网站搜索了一下,发现如下信息:
deskpan.dll不是木马病毒。可能是个自动弹出广告的动态联接库。建义将其删除。运行注册表,选择 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run将右边的 deskpan.dll删除。不会影响系统的。属于垃圾动态联接库。(如果有的话,大家不“必对号入座”,在此仅用于举例)。
7、Hosts反黑
先介绍一点基础:
可以通过修改Hosts文件屏蔽恶意网站:
现在有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中,其中有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或本地计算机的IP,这样就不用访问了。在WINDOWSX系统中,约定127.0.0.1为本地计算机的IP地址, 0.0.0.0是错误的IP地址。
如果,我们在Hosts中,写入以下内容:
127.0.0.1 # 要屏蔽的网站 A
0.0.0.0 # 要屏蔽的网站 B
这样,计算机解析域名 A和 B时,就解析到本机IP或错误的IP,达到了屏蔽网站A 和B的目的。
这里是ESET能带给我们的信息,包括可能的恶意网址,大家可以看一下我们自己的Hosts文件,危险的项,说明该网站很可能是恶意网站!
另外,要看清前一列的地址,如果不是127.0.0.1或者0.0.0.0,那就要小心了。
比如,恶意软件向Hosts文件添加:127.0.0.1 网址,那么ESET的主网站在该机器上就打不开了,如果是杀软更新地址,那么杀软就无法更新了。请看图:
8、最后说一下文件信息
这里列出了一些关键文件的信息和其安全程度,对那些善于修改系统文件的病毒(间谍),我们可以顺藤摸瓜,找到它的孽根!
链接地址:
ESET SysInspector的简单应用1、界面所包含的信息
打开界面后,我们看到一个“花红柳绿”的界面,但是不要小看这些颜色,因为它们代表不同的风险等级,具体含义。
ESET SysInspector界面所包含的信息
可以看出,基本上,绿色代表安全和良好,橙色代表未知和有一定的风险,红色代表危险(不是绝对的,还要结合其它工具以决定是否是真的风险)。
2、单击左侧的项目,就会展开详细信息
这是打开正在运行的进程时,打开的项,黄色代表有可能风险。。
3、单击左侧可能存在风险的进程,右边就会显示出加载的模块信息
其中可能存在风险模块用不同颜色标明,单击相应模块,下方显示加载DLL的文件指纹 SHA1信息,写入修改时间等,便于进行比对。
4、风险的筛选技巧
对于绿色的项我们不必担心;对于橙色的项,我们只需留心;对于危险的项(红色),我们就该费费心了。单击筛选拖动块,就可以筛选出相应风险等级的项了。
5、启动组和外壳程序打开命令:
可以非常清晰的看出启动组加载的情况,定位恶意程序启动的位置和嵌入外壳的打开命令,MediaPlayer的外壳程序打开命令。
6、外壳程序执行钩子
许多木马和间谍软件光顾的地方:(但杀软也会如此做,不要草木皆兵)
这里显示了一个叫做deskpan.dll的风险项,搜索得到
deskpan.dll
Display Panning CPL Extension
Brief description of process
deskpan.dll is going to be reviewed by our specialists. If you are using world wide web, receiving e-mails, downloading files from internet or loading applications from external disks and not using resident antivirus application, there is a huge potential risk to be infected by malicious software, like computer virus, trojan or spyware.
可以看出,它很有可能被木马或者间谍软件感染,ESET用橙色提示你要留心,但这不一定表明已经被感染,我到国内的网站搜索了一下,发现如下信息:
deskpan.dll不是木马病毒。可能是个自动弹出广告的动态联接库。建义将其删除。运行注册表,选择 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run将右边的 deskpan.dll删除。不会影响系统的。属于垃圾动态联接库。(如果有的话,大家不“必对号入座”,在此仅用于举例)。
7、Hosts反黑
先介绍一点基础:
可以通过修改Hosts文件屏蔽恶意网站:
现在有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中,其中有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或本地计算机的IP,这样就不用访问了。在WINDOWSX系统中,约定127.0.0.1为本地计算机的IP地址, 0.0.0.0是错误的IP地址。
如果,我们在Hosts中,写入以下内容:
127.0.0.1 # 要屏蔽的网站 A
0.0.0.0 # 要屏蔽的网站 B
这样,计算机解析域名 A和 B时,就解析到本机IP或错误的IP,达到了屏蔽网站A 和B的目的。
这里是ESET能带给我们的信息,包括可能的恶意网址,大家可以看一下我们自己的Hosts文件,危险的项,说明该网站很可能是恶意网站!
另外,要看清前一列的地址,如果不是127.0.0.1或者0.0.0.0,那就要小心了。
比如,恶意软件向Hosts文件添加:127.0.0.1 网址,那么ESET的主网站在该机器上就打不开了,如果是杀软更新地址,那么杀软就无法更新了。请看图:
8、最后说一下文件信息
这里列出了一些关键文件的信息和其安全程度,对那些善于修改系统文件的病毒(间谍),我们可以顺藤摸瓜,找到它的孽根!
Virscan扫描情况:http://r.virscan.org/report/0e5dc2ceeb80891c0a05d1f918f4cb43
文件MD5:35132EC87D37EFD65477962ED1C9CCB5
链接地址:链接: http://pan.baidu.com/s/1dDvS9VV 密码: iajq
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
