Board logo

标题: 微点进程管理工具初探 [打印本页]
作者: Legend     时间: 2006-12-2 10:19    标题: 微点进程管理工具初探

微点周年测试参赛作品选
原作者:嗷嗷嗷

    微点进程管理工具初探



    评测环境:
    WindowsXP SP2
    微点主动防御软件 程序版本: 1.2.10513  特征版本: 1.4.161.061122
    IceSword 1.20 中文版 修正号061022

    作为一个信息安全爱好者,我们在分析病毒、木马等等恶意程序的时候,首先需要的就是分析当前系统进程是否存在异常,那么一款便于使用的系统进程管理分析工具显然可以使我们事半功倍。本文以WindowsXP自带的任务管理器、微点软件“进程综合信息”模块、还有国内使用量比较大的著名进程管理工具IceSword这三者为例,简要比较一下这三者的设计特点。

    一、Windows任务管理器
    由于是WindowsXP自带的工具,所以任务管理器具有一个别人无法比拟的优势就是Windows默认了数种快捷方式便于其呼出。譬如说快捷键Ctrl+Shift+Esc,右键单击任务栏出现的“任务管理器菜单”。如果使用欢迎屏幕登陆WindowsXP,那么按下“Ctrl+Alt+Del”组合键也可以直接呼出任务管理器。

    但是,任务管理器的设计目标则决定了任务管理器并太不适合用于分析系统,因为任务管理器是为了辅助用户使用和维护Windows。譬如说任务管理器有个功能是调整程序运行优先级,这个功能对于调整Windows的系统资源提高用户程序运行效率是很有必要的。但对于信息安全分析来说,则是基本上没有实用价值的。所以调整优先级这个并不复杂的功能,就没有出现在微点和IceSword软件当中。
   

    任务管理器的主要功能包括:应用程序、进程、性能、联网、用户五大模块。我们最经常使用的是进程管理模块,这个模块可以通过“查看”——“选择列”来增加显示的参数。我个人意见除了默认显示的映像名称、用户名、CPU、内存使用四个参数之外,额外那些参数并不算很实用,而有点儿一头雾水的感觉。同理,联网模块虽然也提供了多种参数曲线,但是对我们分析进程是否可疑都没有很好的辅助参谋作用。
    一句话总结:任务管理器不太适合用于分析可疑进程。

    二、IceSword

   

   
    IceSword最主要的两个工具模块就是“进程”窗口和“端口”窗口。如图所示。关于IceSword的整体定位,我个人认为是这样的:IceSword的设计目标似乎是想把Windows系统中的一些相关信息用图形化的方式表现出来。对于我来说,IceSword的缺点也恰恰在于此,IceSword功能很强大,但是IceSword只是负责显示一些系统信息而已,各种参数信息之间缺乏沟通和协作,我需要自行反复查看分析才能得出结论。
    另外,诸如线程信息和模块读写之类的功能,像我这种初级用户,我只是觉得这些功能特高深,但还真不明白具体是做什么用的,更别提如何应用了。
    一句话总结:IceSword是一款强大的系统分析工具,但IceSword不大适合新手使用,要使用好IceSword,用户最好具有计算机编程功底。

    三、微点主动防御软件
    微点主动防御软件可以说是专门为了分析可疑进程而设计的。呵呵,从这个角度来讲,微点具有无可争议的先天优势,这算不算欺负任务管理器和IceSword呢?
    首先,微点的进程综合信息模块,把当前进程分为了Windows系统、应用软件、可信程序、其他软件四大部分。这样的分类极大地降低了我们进程分析的难度和工作量。一般来说,“Windows系统”和“应用软件”都是微点自动识别出来的比较安全的进程,而“可信程序”则属于用户自行确认过的安全进程,所以我们的工作重点只要放在分析“其他软件”这个类别就可以了。嘿嘿,我的电脑干净吧,其他软件为“0”~!

   
    其次,微点的进程综合信息,真可谓是综合信息,内容相当的丰富。除了默认的进程、程序说明、运行状态、路径、远程IP、远程端口、协议、网络状态、下载总流量、上传总流量之外,用右键点击上面的这些栏目,弹出的右键菜单还有很多可选选项呢!(见图)

   
     微点的进程综合信息显示出的内容,不仅包含程序启动之前的父进程、启动方式,程序启动时间,程序运行当中的模块信息、网络状况,在程序退出之后,仍然会提示不少有价值的信息。

   

    最后,再说一个使用的细节,我们以Windows Messenger为例,右键点击左边的msmsgs.exe进程,右键菜单有一个查找目标。点击之后直接打开一个文件夹窗口精确定位到这个文件。我个人认为这个设计非常体贴用户,虽然在进程综合信息的右边栏窗口中显示有该进程的具体路径,呵呵,但是自己去手工找文件,当然没有自动定位爽阿!

   

   

    一句话总结:微点的进程综合信息模块,内容丰富而又简单实用。

    综上,我觉得微点的进程综合信息模块很是实用,且适用于绝大多数人。强烈建议您也来试用一下!

ID:嗷嗷嗷
作者: 顺其自然     时间: 2006-12-5 19:34
作者: pengsir     时间: 2007-4-22 17:19
支持!
作者: 微点放大是焦点     时间: 2007-4-23 12:01
哇~~很好的帖子.不过新手可能有点看得眼花,但如果哪一天菜鸟们也能懂得,有些病毒能通过观测进程就能判断是否给执行的时候他们就会知道这个帖子是多么的宝贵.
作者: ffjjyy     时间: 2007-4-23 12:28
顶 不错
作者: 微点放大是焦点     时间: 2007-4-25 19:16
哟哟,怎么这个帖子沉下去了啦?好东西,想让多些人看看.我顶上去.
作者: Chenguofeng     时间: 2007-4-25 21:49
顶顶顶
作者: 263263     时间: 2007-4-26 09:49
这样的帖子要常发
作者: xingkong     时间: 2007-4-26 11:06
微点要是有对付流氓软件的功能就好了 我就不用装360
作者: 咸菜     时间: 2007-12-4 11:30
我用微点进程管理工具比较顺手 IceSword也不错 各有各自的优点
作者: hccccc     时间: 2007-12-4 13:45
要是再有个系统服务就好了
作者: linwenfanlei     时间: 2007-12-4 14:31    标题: 支持一下;不错!!!

作者: 251890882     时间: 2008-7-25 12:12
好帖当然要顶!!!!!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn