Malware Defender是一款主機入侵防禦系統,原為個人收費軟體,被奇虎360收購後實行免費,Malware Defender不同於Mamutu、ThreatFire等智慧型HIPS,Malware Defender和Safe'n'Sec Persona一樣都是手動HIPS,規則需要自己介入,相比之下操作難度更大,但是也更安全。
基本介紹
使用幫助,主要功能,軟體安裝,快捷鍵,規則概述,常見問題,
使用幫助
主要功能
Malware Defender 是一個 HIPS (主機入侵防禦系統)軟體,它可以有效的保護您的計算機系統免受惡意軟體(病毒、蠕蟲、木馬、廣告軟體、間諜軟體、按鍵記錄軟體、rootkit 等)的侵害。目前,360公司已收購Malware Defender。Malware Defender 也是一個 rootkit 檢測軟體,它提供了很多有效的工具來檢測和刪除已經安裝在您的計算機系統中的惡意軟體。
無論您是否是一個計算機專家用戶,Malware Defender 都是您保護您的系統的理想選擇。
主要功能:一、實時保護系統:
Malware Defender
Malware Defender監控對進程、檔案和註冊表的可疑操作。
能夠檢測到各種已知和未知的惡意軟體。 提供學習模式和安靜模式。
比較高的性能和比較低的資源占用。
二、進程管理器:
檢測隱藏進程和執行緒。
檢測未通過簽名驗證的進程和模組。
使用底層技術結束進程和執行緒。
掛起/恢復進程和執行緒。卸載進程模組。
Malware Defender安裝界面
Malware Defender安裝界面關閉進程句柄。
三、核心模組管理器:
檢測隱藏核心模組和核心執行緒。
檢測未通過簽名驗證的核心模組。
結束、掛起或恢復核心執行緒。
刪除核心延遲調用定時器。
四、鉤子檢測器:
檢測並恢復系統服務表鉤子(SSDT鉤子)。
檢測並恢復Win32K服務表鉤子(shadow SSDT鉤子)。
檢測並恢復中斷描述表鉤子(IDT鉤子)。
檢測並恢復SYSENTER處理例程。
檢測並恢復核心對象鉤子。
檢測並恢復系統通知例程。
檢測並恢復核心模式代碼鉤子。
檢測並恢復用戶模式代碼鉤子。
檢測並恢復全局訊息鉤子。
檢測附加設備。
檢測驅動程式分發例程。
五、自動運行程式管理器:
搜尋所有已知的自動運行程式所在位置。
檢測隱藏自動運行程式。
檢測新增的自動運行程式。
允許撤銷和重做對自動運行程式的刪除操作。
六、檔案瀏覽器:
檢測隱藏的檔案和資料夾。
顯示和刪除NTFS數據流。
刪除使用中的檔案。
七、註冊表編輯器:
全功能註冊表編輯器。
檢測隱藏註冊表條目。
軟體安裝
系統需求:
Windows 2000 (Service Pack 4)
Windows XP (32-bit)
Windows 2003 (32-bit)
Windows Vista (32-bit)
Windows 2008 (32-bit)
Windows 7 (32-bit)
安裝
執行下載的安裝程式。
卸載
執行開始選單Malware Defender 中的 'Uninstall',或者在控制臺 '添加/刪除程式' 中雙擊 'Malware Defender'
軟體帶有幫助檔案,可以使用幫助檔案認識軟體主要功能與選項
快捷鍵
下表列出了 Malware Defender 中的快捷鍵。
快捷鍵 | 說明 |
F1 | 打開幫助檔案 |
Alt + F4 | 退出 Malware Defender |
Alt + Enter | 打開屬性對話框 |
Ctrl + A | 選中列表中的全部項目 |
Ctrl + Z | 撤銷最後一步操作 |
Ctrl + Y | 重新執行先前已撤銷的操作 |
Ctrl + C, Ctrl + Ins | 複製被選內容並將其置於剪貼簿上 |
Ctrl + X, Shift + Del | 剪下被選內容並將其置於剪貼簿上 |
Ctrl + V, Shift + Ins | 插入剪貼簿內容 |
Del | 刪除被選內容 |
F2 | 重命名被選內容 |
Ctrl + F | 打開查找對話框 |
Alt + D | 激活地址欄 |
Ctrl + H | 顯示或關閉進程句柄視窗 |
Ctrl + M | 顯示或關閉進程模組視窗 |
F4 | 激活地址欄並顯示地址歷史列表 |
F5 | 刷新顯示 |
F7 | 在MDI視窗和當前浮動面板視窗之間切換 |
Ctrl + F7 | 切換到下一個浮動面板視窗 |
Ctrl + Shift + F7 | 切換到上一個浮動面板視窗 |
Tab | 在各MDI視窗中的切分視窗之間切換 |
Ctrl + Tab | 切換到下一個MDI視窗 |
Ctrl + Shift + Tab | 切換到上一個MDI視窗 |
Alt + Up Arrow | 在檔案或註冊表視窗中顯示上一層內容 |
Alt + Left Arrow | 跳轉到訪問歷史中的前一項 |
Alt + Right Arrow | 跳轉到訪問歷史中的下一項 |
Ctrl + Alt + Up Arrow | 減小規則優先權 |
Ctrl + Alt + Down Arrow | 增加規則優先權 |
Applications key, Shift + F10 | 顯示上下文選單 |
規則概述
Malware Defender使用規則來決定當檢測到可疑操作時如何處理,您應該理解規則的工作原理,並且仔細管理規則,尤其是名稱為“*”的默認規則。如果賦予默認規則不恰當的許可權,將影響系統的安全,所以一般不要修改默認規則的許可權。
規則狀態
規則狀態有如下幾種:
已啟用- 已啟用的永久規則。
已禁用 -已禁用的永久規則。
臨時的- 已啟用的臨時規則。
臨時規則將在進程退出時自動刪除,如果您對臨時規則執行啟用或禁用操作,它將成為一個永久規則。
規則許可權
每個規則的基本許可權如下:
讀許可權- 用於檔案規則。(如果讀許可權為阻止,修改、創建及刪除許可權也將強制為阻止。)
創建許可權- 用於檔案規則。(允許創建許可權將允許新建不存在的檔案,並且在檔案關閉前默認允許修改檔案。)
刪除許可權- 用於檔案規則。
修改許可權- 用於檔案規則或註冊表規則。(對於檔案規則,包含設定隱藏屬性和修改許可權操作;對於註冊表規則,包含創建 ,刪除和修改屬性操作。)
執行許可權 -用於鉤子模組規則、驅動程式規則或應用程式規則。
許可權類別
許可權有以下可選的類別:
允許- 允許執行當前操作。
阻止- 阻止執行當前操作。
阻止並結束進程- 阻止執行當前操作,並且結束執行操作的進程。(系統應用程式不允許被結束進程)
詢問 -詢問用戶。
忽略 -繼續搜尋其他較低優先權的規則。
規則優先權
當添加一個規則,Malware Defender將賦予其同一類型中的最高優先權,但是您可以使用上下文選單或者滑鼠拖放來修改優先權。
對於檔案、註冊表和網路操作,應用程式規則中的 檔案/註冊表/網路 規則優先權高於全局 檔案/註冊表/網路 規則。
內置規則
內置規則顯示為特殊顏色(默認為藍色),所有內置規則不允許被刪除,內置應用程式規則不能被禁用。
在規則中使用通配符
您可以使用 '*' 和 '?' 作為通配符,'*' 表示零個或多個字元,'?' 表示任意單個字元。
在使用通配符匹配檔案目錄或註冊表項時有一個特例,例如對於資料夾“c:\xxx”,“c:\xxx\*”可以成功匹配。
在規則中使用相對路徑
您可以在檔案規則、子應用程式規則、目標應用程式規則、驅動程式規則、鉤子模組規則、動態程式庫規則以及允許執行的應用程式中使用相對路徑。相對路徑必須以".\"(當前目錄)或"..\"(父目錄)開始,可以包含多個"..\"。
在規則中使用環境變數
本軟體自動處理環境變數。當保存規則檔案時,檔案路徑中如果包含環境變數對應的字元串,此字元串將以環境變數代替。當載入規則檔案時,檔案路徑中的環境變數將自動展開。
本軟體支持以下環境變數:
%TEMP% %APPDATA% %USERPROFILE% %ALLUSERSPROFILE% %ProgramFiles% %SystemRoot% %SystemDrive% 組
組用來管理需要設定為相同許可權的規則對象。當您創建了一個組時,它並不會顯示在規則視窗中,您必須創建一條規則來使用它。組也可以用於應用程式規則中的子應用程式規則、檔案規則和註冊表規則。
應用程式組中的成員可以擁有私有的許可權設定,並有著更高的優先權,只有當組成員的許可權設定為“忽略”時,才使用組的許可權設定。
規則匹配方式
規則從高優先權到低優先權(從下向上)進行搜尋,如果找到一個匹配的規則,就檢查其許可權,如果許可權不為“忽略”,則停止搜尋,否則繼續搜尋其他規則。
如果檢測到一個創建進程操作,本軟體還將查找子進程匹配的應用程式規則,如果匹配規則的執行許可權不為“允許”,並且規則優先權高於父進程匹配的規則,則使用子進程的執行許可權。
常見問題
什麼是Malware?
Malware是英文“malicious software”的簡稱,意思是惡意軟體,是指任何對計算機系統有害的軟體。因此, malware包含病毒、蠕蟲、木馬、廣告軟體、間諜軟體、按鍵記錄軟體、rootkit等。
什麼是HIPS?
HIPS是英文“Host Intrusion Prevention System”的縮寫,意思是主機入侵防禦系統,使用基於規則和行為的監控來防禦對系統的非法修改。HIPS可以與傳統防毒軟體一起使用,為您的計算機系統提供多一層的保護。
為什麼下載核心符號檔案失敗?
主要有兩種可能的原因。一種原因是MD由於網路問題無法連線微軟的公共符號伺服器。另一種原因是符號伺服器上不存在對應的核心符號檔案,例如微軟一般不為測試版的Windows提供符號檔案。如果沒有核心符號檔案,一些ARK功能將不能使用,但是所有的HIPS功能都不受影響。
