北京智恒联盟trojanchecker使用手册v3

北京智恒联盟trojanchecker使用手册v3内容摘要：

第三方加载项。 用户可以通过检查 SPI来查看是否安装第三方加载项，并确定是否为木马软件。 启动项检查 单击 “ 启动项检查 ” 选项 ， 可 列出开机启动的项目，包括注册表、名称 、 文件 和分析情况 ，如图所示： 注：启动项键值： 键值 意义 位置 Load 自动启动程序 〔 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load〕主键下 Userinit 用于系统启动时加 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current TrojanChecker 用户快速使用手册 Copyright169。 2020 北京智恒联盟科技有限公司 23 载程序 Version\Winlogon\Userinit〕主键下 Explorer\Run 系统启动项 同时位于（ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。 Run Services Once 用户登录前及其它注册表自启动程序加载前面加 载。 同时位于〔 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。 Run Services 用户登录前及其它注册表自启动程序加载前面加载。 同时位于 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 下。 Run Once\Setup 其默认值是在用户登录后加载的程序 同时位于 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup下。 Run Once 许多自启动程序要通过 RunOnce 子键来完成第一次加载 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 下。 Run 最常见的自启动程序用于加载的地方 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下。 端口检查 单击 “ 端口检查 ” 选项， 可 列出 TCP/UDP 的开放端口，包括本机地址、远程地址 、 状态 和分析情况。 TrojanChecker 用户快速使用手册 Copyright169。 2020 北京智恒联盟科技有限公司 24 注： 端口 连接进程是通过一系列状态表示的， 这些 状态有： LISTEN， CLOSEWAIT， CLOSING， LASTACK， TIMEWAIT和 CLOSED。 状态 意 义 LISTENING 侦听来自远方 TCP端口的连接请求 TIMEWAIT 等待足够的时间以确保远程 TCP接收到连接中断请求的确认 CLOSEWAIT 等待从本地用户发来的连接中断请求 SYNSENT 在发送连接请求后等待匹配的连接请求 SYNRECEIVED 在收到和发送一个连接 请求后等待对连接请求的确认 ESTABLISHED 代表一个打开的连接，数据可以传送给用户 FINWAIT1 等待远程 TCP的连接中断请求，或先前的连接中断请求的确认 FINWAIT2 从远程 TCP等待连接中断请求 CLOSEWAIT 等待从本地用户发来的连接中断请求 CLOSING 等待远程 TCP对连接中断的确认 LASTACK 等待原来发向远程 TCP的连接中断请求的确认 TrojanChecker 用户快速使用手册 Copyright169。 2020 北京智恒联盟科技有限公司 25 CLOSED 没有任何连接状态 常见端口及木马常见木马开放端口见附表。 进程检查 单 击 “ 进程检查 ”选 项 ， 可 列出 正在进行的 系统进程。 包括进程 ID、名称、文件 和路 径。 注： 在 “ 进程 ID” 一栏中，出现 0值是指该端口已关闭，处于 “TIME_WAIT” 状态。 常见系统进程附表： 进程文件 进程名称 进程描述 [system process] or [system process] Windows 内存处理系统进程 Windows页面内存管理进程，拥有 0级优先。 （其 CPU占用越多说明电脑资源越多空闲可供使用） alg or 应用层网关服务 XP中的 Application Layer Gateway service。 这是一个应用层网关服务用于网络共享 TrojanChecker 用户快速使用手册 Copyright169。 2020 北京智恒联盟科技有限公司 26 csrss or Client/Server Runtime Server Subsystem 仅仅在 Windows NT4//2020/XP/2020中 . CSRSS 是客户服务器运作服务子系统， 用以控制 Windows 图形相关子系统。 ddhelp or DirectDraw Helper DirectDraw Helper是 DirectX这个用于图形服务的一个组成部分。 dllhost or DCOM DLL Host 进程 DCOM DLL Host进程支持基于 COM对象支持 DLL以运行 Windows程序。 【微软D模块 ,如果该进程常常出错，那么可能感染 Welchia 病毒】 explorer or xe 程序管理 Windows Program Manager或者 Windows Explorer 用于控制 Windows图形 Shell，包括开始菜单、任务栏，桌面和文件管理。 【系统界面内核】 iinfo or xe IIS Admin Service Helper IInfo是 Microsoft Inter Infomation Services (IIS)的一部分，即微軟 IIS 服務。 用于 Debug 调试除错。 【 msftpsvc,w3svc,iisadmn】 internat or xe Input Locales MS windows 的多語言支持，这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。 kernel32 or ll Windows壳进程 Windows壳进程用于管理多线程、内存和资源。 即是 Windows 本身 lsass or 本地安全权限服务 Windows NT4/2020/XP/2020. LSASS 是本地安全认证服务。 这个本地安全权限服务控制 Windows 安全机制。 管理 ip 安全策略以及启动 isakmp/oa TrojanChecker 用户快速使用手册 Copyright169。 2020 北京智恒联盟科技有限公司 27 kley (ike) 和 ip 安全驱动程序 mdm or Machine Debug Manager Debug除错管理用于调试应用程序和 Microsoft Office中的 Microsoft Script Editor 脚本编辑器。 mmtask or 多媒体支持进程 Microsoft 多媒体后台任务支持模块。 这个 Windows 多媒体后台程序控制多媒体服务，例如 MIDI。 regsvc or 远程注册表服务 远程注册表服 务用于访问在远程计算机的注册表。 rpcss or RPC Portmapper Windows 的 RPC 端口映射进程处理 RPC 调用 (远程模块调用 )然后把它们映射给指定的服务提供者。 svchost or Service Host Process Service Host Process 是一个标准的动态连接库主机处理服务。 system or Windows System Process Microsoft Windows 系统进程。 taskmon or Windows Task Optimizer windows 任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。 tcpsvcs or TCP/IP Services TCP/IP Services Application 支持透过 TCP/IP连接局域网和 Inter。 spoolsv or Printer Spooler Service Windows打印 任务 spool32 or Printer Spooler Windows打印任务控制程序，用以打印机就绪。 snmp or Microsoft SNMP Agent Windows简单的网络协议代理（ SNMP）用于监听和发送请求到适当的网络部分。 TrojanChecker 用户快速使用手册 Copyright169。 2020 北京智恒联盟科技有限公司 28 smss or Session Manager Subsystem 该进程为会话管理子系统用以初始化系统变量。 services or xe Windows Service Controller 管理 Windows 服务。 包含很多系统服务 winlogon or xe Windows Logon Process Windows NT 管理用户登陆程序。 mstask or Windows计划任务 Windows 计划任务用于设定继承在什么时间或者什么日期备份或者运行 Prexe or Windows Multiple Provider Router—— 【 Windows路由进程】 Windows 路由进程包括向适当的网络部分发出网络请求 日志管理： 使用“日志审计员”账户登录 ， 点击“查看日志”，进入日志管理界面， 支持系统操作 日志 查看、清除和导出。 TrojanChecker 用户快速使用手册 Copyright169。 2020 北京智恒联盟科技有限公司 29 单 击“刷新” 选项 ， 可 实时显示系统操作日志。 查询实时、历史日志数据。  选中所要清除的日志，单击“清除选择” 选项 ，可对指定日志进行清除。  单击“清除 所有” 选项 ，可清除历史日志数据。  单击“导出日志” 选项 ，可对日志进行 txt文档导出。 TrojanChecker 用户快速使用手册 Copyright169。 2020 北京智恒联盟科技有限公司 30 TrojanChecker 用户快速使用手册 Copyright169。 2020 北京智恒联盟科技有限公司 31 第六章 附表 常见端口 应 用 0 无效端口 ,通常用于分析操作系统 1 传输控制协议端口服务多路开关选择器 2 管理实用程序 3 压缩进程 5 远程作业登录 7 回显 9 丢弃 11 在线用户 13 时间 17 每日引用 18 消息发送协议 19 字符发生器。