常用游戏分析工具之PChunter及procexp使用心得.docxVIP

常用游戏分析工具之PChunter及procexp使用心得一、PC Hunter功能简介PC Hunter是一款方便易用的手工杀毒工具。该软件其实有着功能齐全的windows系统信息查看内容，不但可以查看各类系统的信息，也支持找到电脑中存在的病毒木马，让你的系统得到最佳保护。PC Hunter 功能特点： 　　1.进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能 　　2.内核驱动模块查看，支持内核驱动模块的内存拷贝 　　3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hook 　　4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看，并支持对这些Notify Routine的删除 　　5.端口信息查看，目前不支持2000系统 　　6.查看消息钩子 　　7.内核模块的iat、eat、inline hook、patches检测和恢复 　　8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除 　　9.注册表编辑 　　10.进程iat、eat、inline hook、patches检测和恢复 　　11.文件系统查看，支持基本的文件操作 　　12.查看（编辑）IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME 　　13.ObjectType Hook检测和恢复 　　14.DPC定时器检测和删除 　　15.MBR Rootkit检测和修复 　　16.内核对象劫持检测二、Process Explorer功能简介Process Explorer?是一款增强型的任务管理器，你可以使用它方便地管理你的程序进程，能强行关闭任何程序(包括系统级别的不允许随便终止的“顽固”进程)。除此之外，它还详尽地显示计算机信息：CPU、内存使用情况，DLL、句柄信息，很酷的曲线图... 此为必威体育精装版版，原版、汉化均有较多改进，签名验证、DEP等新的东西查看进程相关信息启动procexp.exe后,我们可以在你需要查看的进程上右键属性查看,也可以直接双击或点击工具栏上方的手势按钮,打开后我们可以看到程序的路径,参数,线程等等信息此处我们可以查看一个进程的文件版本,加载线程,网络连接等各方面信息,其中有个比较有用的功能是校验程序的真伪.我们知道目前网络上病毒猖狂,伪造的或者被人修改的系统文件比比皆是,在这么多文件里面我们根本难以区分哪些文件真正属于微软原版文件,指不定一个外表看上去微软得不能再微软的程序,实际上跟微软一点关系也没有,甚至是植入了恶意程序.当一个程序签名是微软的信息,而实际上被注入第三方线程或者干脆非微软时,软件默认会以紫色醒目提示.同时,我们可以查看该进程属性,点击verify按钮,程序会自动与微软提供的程序符号表校对,如果确系微软文件,将会在版本信息处标识已校验通过.反之,如果非微软的文件,则肯定无法与微软提供的符号表相匹配,软件将会提示无法验证.如果签名信息为微软,而又无法在此处通过验证,那么此时你就要多留意此文件的安全性了.查看程序调用关系一个程序往往由很多组件组成,程序通过各种调用关联完成一系列的功能.当然,现在的程序编写多采用标准库,查看到的也包含系统提供的相关模块.我们可以点击工具栏上的面板按钮,也可以按快捷ctrl+l或者ctrl+d,一般多用ctrl+d,软件将自动展开程序的下级调用查看面板,我们选择一个程序,可以在下方看到相应的调用关系.比如我要查看浏览器都加载了哪些插件,那么可以启动浏览器,然后选择浏览器进程,查看起调用的所有动态链接库.可能大部分都是微软的公司签名,那么我们可以点击公司名称标签排序,这样就可以快速地筛选出非微软的程序了.当然,纯粹公司名是可以任意伪造的,要验证真伪请参考前文.在进程调用关系上,我们经常可以用于定位某些弹窗软件.我们经常会发现右下角多出个小窗,小窗内播放着各种诱惑的东西,这种广告多如牛毛,还不知道是谁弹的,那么此功能就派上用场了.左键点住工具栏上的雷达图标(一般是最后一个),拖到弹出的小窗上再松开,程序自动定位到窗口程序,其程序间的父子关系一目了然,父进程就是罪魁祸首了,该怎么办您自己看着办.查找文件占用其实是查看程序调用功能的延伸,本身程序能检查到各个文件之间的相互调用关系,那么就很好理解此功能的来源了.我们平常可能会经常用到unlock这种工具删除被占用的文件,原理也类似,我们可以利用procexp查找占用,然后