微点交流论坛 - 微点软件使用交流 - 微点进程管理工具初探

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 微点进程管理工具初探

1/2

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#1 微点进程管理工具初探

微点周年测试参赛作品选
原作者：嗷嗷嗷

　　　　微点进程管理工具初探

评测环境：
WindowsXP SP2
微点主动防御软件程序版本： 1.2.10513 特征版本： 1.4.161.061122
IceSword 1.20 中文版修正号061022

作为一个信息安全爱好者，我们在分析病毒、木马等等恶意程序的时候，首先需要的就是分析当前系统进程是否存在异常，那么一款便于使用的系统进程管理分析工具显然可以使我们事半功倍。本文以WindowsXP自带的任务管理器、微点软件“进程综合信息”模块、还有国内使用量比较大的著名进程管理工具IceSword这三者为例，简要比较一下这三者的设计特点。

一、Windows任务管理器
由于是WindowsXP自带的工具，所以任务管理器具有一个别人无法比拟的优势就是Windows默认了数种快捷方式便于其呼出。譬如说快捷键Ctrl+Shift+Esc，右键单击任务栏出现的“任务管理器菜单”。如果使用欢迎屏幕登陆WindowsXP，那么按下“Ctrl+Alt+Del”组合键也可以直接呼出任务管理器。

但是，任务管理器的设计目标则决定了任务管理器并太不适合用于分析系统，因为任务管理器是为了辅助用户使用和维护Windows。譬如说任务管理器有个功能是调整程序运行优先级，这个功能对于调整Windows的系统资源提高用户程序运行效率是很有必要的。但对于信息安全分析来说，则是基本上没有实用价值的。所以调整优先级这个并不复杂的功能，就没有出现在微点和IceSword软件当中。

任务管理器的主要功能包括：应用程序、进程、性能、联网、用户五大模块。我们最经常使用的是进程管理模块，这个模块可以通过“查看”——“选择列”来增加显示的参数。我个人意见除了默认显示的映像名称、用户名、CPU、内存使用四个参数之外，额外那些参数并不算很实用，而有点儿一头雾水的感觉。同理，联网模块虽然也提供了多种参数曲线，但是对我们分析进程是否可疑都没有很好的辅助参谋作用。
一句话总结：任务管理器不太适合用于分析可疑进程。

二、IceSword

IceSword最主要的两个工具模块就是“进程”窗口和“端口”窗口。如图所示。关于IceSword的整体定位，我个人认为是这样的：IceSword的设计目标似乎是想把Windows系统中的一些相关信息用图形化的方式表现出来。对于我来说，IceSword的缺点也恰恰在于此，IceSword功能很强大，但是IceSword只是负责显示一些系统信息而已，各种参数信息之间缺乏沟通和协作，我需要自行反复查看分析才能得出结论。
另外，诸如线程信息和模块读写之类的功能，像我这种初级用户，我只是觉得这些功能特高深，但还真不明白具体是做什么用的，更别提如何应用了。
一句话总结：IceSword是一款强大的系统分析工具，但IceSword不大适合新手使用，要使用好IceSword，用户最好具有计算机编程功底。

三、微点主动防御软件
微点主动防御软件可以说是专门为了分析可疑进程而设计的。呵呵，从这个角度来讲，微点具有无可争议的先天优势，这算不算欺负任务管理器和IceSword呢？
首先，微点的进程综合信息模块，把当前进程分为了Windows系统、应用软件、可信程序、其他软件四大部分。这样的分类极大地降低了我们进程分析的难度和工作量。一般来说，“Windows系统”和“应用软件”都是微点自动识别出来的比较安全的进程，而“可信程序”则属于用户自行确认过的安全进程，所以我们的工作重点只要放在分析“其他软件”这个类别就可以了。嘿嘿，我的电脑干净吧，其他软件为“0”~！

其次，微点的进程综合信息，真可谓是综合信息，内容相当的丰富。除了默认的进程、程序说明、运行状态、路径、远程IP、远程端口、协议、网络状态、下载总流量、上传总流量之外，用右键点击上面的这些栏目，弹出的右键菜单还有很多可选选项呢！（见图）

微点的进程综合信息显示出的内容，不仅包含程序启动之前的父进程、启动方式，程序启动时间，程序运行当中的模块信息、网络状况，在程序退出之后，仍然会提示不少有价值的信息。

最后，再说一个使用的细节，我们以Windows Messenger为例，右键点击左边的msmsgs.exe进程，右键菜单有一个查找目标。点击之后直接打开一个文件夹窗口精确定位到这个文件。我个人认为这个设计非常体贴用户，虽然在进程综合信息的右边栏窗口中显示有该进程的具体路径，呵呵，但是自己去手工找文件，当然没有自动定位爽阿！

一句话总结：微点的进程综合信息模块，内容丰富而又简单实用。

综上，我觉得微点的进程综合信息模块很是实用，且适用于绝大多数人。强烈建议您也来试用一下！

ID：嗷嗷嗷

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2006-12-2 10:19

顺其自然
注册用户

积分 109
发帖 109
注册 2006-11-26
来自东方微点交流论坛

#2

顶

※ ※ ※ 本文纯属【顺其自然】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-12-5 19:34

pengsir
新手上路

积分 9
发帖 9
注册 2007-4-21

#3

支持!

※ ※ ※ 本文纯属【pengsir】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-22 17:19

微点放大是焦点
高级用户

积分 783
发帖 765
注册 2007-2-10
来自广州

#4

哇~~很好的帖子.不过新手可能有点看得眼花,但如果哪一天菜鸟们也能懂得,有些病毒能通过观测进程就能判断是否给执行的时候他们就会知道这个帖子是多么的宝贵.

※ ※ ※ 本文纯属【微点放大是焦点】个人意见，与【微点交流论坛】立场无关※ ※ ※

天将降大任于是微点,必先苦其老总,劳其同事,饿其用户,空乏资金,官司乱其所为,所以动心忍性,销售其所不能。

2007-4-23 12:01

ffjjyy
中级用户

积分 223
发帖 223
注册 2007-1-24

#5

顶不错

※ ※ ※ 本文纯属【ffjjyy】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-23 12:28

微点放大是焦点
高级用户

积分 783
发帖 765
注册 2007-2-10
来自广州

#6

哟哟,怎么这个帖子沉下去了啦?好东西,想让多些人看看.我顶上去.

※ ※ ※ 本文纯属【微点放大是焦点】个人意见，与【微点交流论坛】立场无关※ ※ ※

天将降大任于是微点,必先苦其老总,劳其同事,饿其用户,空乏资金,官司乱其所为,所以动心忍性,销售其所不能。

2007-4-25 19:16

Chenguofeng
新手上路

积分 5
发帖 5
注册 2007-4-25

#7

顶顶顶

※ ※ ※ 本文纯属【Chenguofeng】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-25 21:49

263263
新手上路

积分 9
发帖 9
注册 2007-2-18

#8

这样的帖子要常发

※ ※ ※ 本文纯属【263263】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-26 09:49

xingkong
注册用户

积分 99
发帖 97
注册 2007-4-5

#9

微点要是有对付流氓软件的功能就好了我就不用装360

※ ※ ※ 本文纯属【xingkong】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-26 11:06

咸菜
新手上路

积分 20
发帖 20
注册 2007-7-19

#10

我用微点进程管理工具比较顺手 IceSword也不错各有各自的优点

※ ※ ※ 本文纯属【咸菜】个人意见，与【微点交流论坛】立场无关※ ※ ※

人生不如意事十八九，唯有快乐在心头。

2007-12-4 11:30

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号