-
Malware Defender
鎖定
Malware Defender是一款主機入侵防禦系統,原為個人收費軟件,被奇虎360收購後實行免費,Malware Defender不同於Mamutu、ThreatFire等智能HIPS,Malware Defender和Safe'n'Sec Persona一樣都是手動HIPS,規則需要自己介入,相比之下操作難度更大,但是也更安全。
Malware Defender使用幫助
Malware Defender主要功能
Malware Defender 是一個 HIPS (主機入侵防禦系統)軟件,它可以有效的保護您的計算機系統免受惡意軟件(病毒、蠕蟲、木馬、廣告軟件、間諜軟件、按鍵記錄軟件、rootkit 等)的侵害。目前,360公司已收購Malware Defender。Malware Defender 也是一個 rootkit 檢測軟件,它提供了很多有效的工具來檢測和刪除已經安裝在您的計算機系統中的惡意軟件。
無論您是否是一個計算機專家用户,Malware Defender 都是您保護您的系統的理想選擇。
監控對進程、文件和註冊表的可疑操作。
能夠檢測到各種已知和未知的惡意軟件。 提供學習模式和安靜模式。
比較高的性能和比較低的資源佔用。
二、進程管理器:
檢測隱藏進程和線程。
檢測未通過簽名驗證的進程和模塊。
使用底層技術結束進程和線程。
掛起/恢復進程和線程。卸載進程模塊。
關閉進程句柄。
三、內核模塊管理器:
檢測隱藏內核模塊和內核線程。
檢測未通過簽名驗證的內核模塊。
結束、掛起或恢復內核線程。
刪除內核延遲調用定時器。
四、鈎子檢測器:
檢測並恢復系統服務表鈎子(SSDT鈎子)。
檢測並恢復Win32K服務表鈎子(shadow SSDT鈎子)。
檢測並恢復中斷描述表鈎子(IDT鈎子)。
檢測並恢復SYSENTER處理例程。
檢測並恢復內核對象鈎子。
檢測並恢復系統通知例程。
檢測並恢復內核模式代碼鈎子。
檢測並恢復用户模式代碼鈎子。
檢測並恢復全局消息鈎子。
檢測附加設備。
檢測驅動程序分發例程。
五、自動運行程序管理器:
搜索所有已知的自動運行程序所在位置。
檢測隱藏自動運行程序。
檢測新增的自動運行程序。
允許撤銷和重做對自動運行程序的刪除操作。
六、文件瀏覽器:
檢測隱藏的文件和文件夾。
顯示和刪除NTFS數據流。
刪除使用中的文件。
七、註冊表編輯器:
全功能註冊表編輯器。
檢測隱藏註冊表條目。
Malware Defender軟件安裝
系統需求:
Windows 2000 (Service Pack 4)
Windows XP (32-bit)
Windows 2003 (32-bit)
Windows Vista (32-bit)
Windows 2008 (32-bit)
Windows 7 (32-bit)
Windows8(32-bit)
Windows8.1 (32-bit)
Windows10(32-bit)
安裝
執行下載的安裝程序。
卸載
執行開始菜單Malware Defender 中的 'Uninstall',或者在控制面板 '添加/刪除程序' 中雙擊 'Malware Defender'
軟件帶有幫助文件,可以使用幫助文件認識軟件主要功能與選項
Malware Defender快捷鍵
下表列出了 Malware Defender 中的快捷鍵。
快捷鍵 | 説明 |
F1 | 打開幫助文件 |
Alt + F4 | 退出 Malware Defender |
Alt + Enter | 打開屬性對話框 |
Ctrl + A | 選中列表中的全部項目 |
Ctrl + Z | 撤銷最後一步操作 |
Ctrl + Y | 重新執行先前已撤銷的操作 |
Ctrl + C, Ctrl + Ins | 複製被選內容並將其置於剪貼板上 |
Ctrl + X, Shift + Del | 剪切被選內容並將其置於剪貼板上 |
Ctrl + V, Shift + Ins | 插入剪貼板內容 |
Del | 刪除被選內容 |
F2 | 重命名被選內容 |
Ctrl + F | 打開查找對話框 |
Alt + D | 激活地址欄 |
Ctrl + H | 顯示或關閉進程句柄窗口 |
Ctrl + M | 顯示或關閉進程模塊窗口 |
F4 | 激活地址欄並顯示地址歷史列表 |
F5 | 刷新顯示 |
F7 | 在MDI窗口和當前浮動面板窗口之間切換 |
Ctrl + F7 | 切換到下一個浮動面板窗口 |
Ctrl + Shift + F7 | 切換到上一個浮動面板窗口 |
Tab | 在各MDI窗口中的切分窗口之間切換 |
Ctrl + Tab | 切換到下一個MDI窗口 |
Ctrl + Shift + Tab | 切換到上一個MDI窗口 |
Alt + Up Arrow | 在文件或註冊表窗口中顯示上一層內容 |
Alt + Left Arrow | 跳轉到訪問歷史中的前一項 |
Alt + Right Arrow | 跳轉到訪問歷史中的下一項 |
Ctrl + Alt + Up Arrow | 減小規則優先級 |
Ctrl + Alt + Down Arrow | 增加規則優先級 |
Applications key, Shift + F10 | 顯示上下文菜單 |
Malware Defender規則概述
Malware Defender使用規則來決定當檢測到可疑操作時如何處理,您應該理解規則的工作原理,並且仔細管理規則,尤其是名稱為“*”的默認規則。如果賦予默認規則不恰當的權限,將影響系統的安全,所以一般不要修改默認規則的權限。
規則狀態
規則狀態有如下幾種:
已啓用- 已啓用的永久規則。
已禁用 -已禁用的永久規則。
臨時的- 已啓用的臨時規則。
臨時規則將在進程退出時自動刪除,如果您對臨時規則執行啓用或禁用操作,它將成為一個永久規則。
規則權限
每個規則的基本權限如下:
讀權限- 用於文件規則。(如果讀權限為阻止,修改、創建及刪除權限也將強制為阻止。)
創建權限- 用於文件規則。(允許創建權限將允許新建不存在的文件,並且在文件關閉前默認允許修改文件。)
刪除權限- 用於文件規則。
修改權限- 用於文件規則或註冊表規則。(對於文件規則,包含設置隱藏屬性和修改權限操作;對於註冊表規則,包含創建 ,刪除和修改屬性操作。)
執行權限 -用於鈎子模塊規則、驅動程序規則或應用程序規則。
權限類別
權限有以下可選的類別:
允許- 允許執行當前操作。
阻止- 阻止執行當前操作。
阻止並結束進程- 阻止執行當前操作,並且結束執行操作的進程。(系統應用程序不允許被結束進程)
詢問 -詢問用户。
忽略 -繼續搜索其他較低優先級的規則。
規則優先級
當添加一個規則,Malware Defender將賦予其同一類型中的最高優先級,但是您可以使用上下文菜單或者鼠標拖放來修改優先級。
對於文件、註冊表和網絡操作,應用程序規則中的 文件/註冊表/網絡 規則優先級高於全局 文件/註冊表/網絡 規則。
內置規則
內置規則顯示為特殊顏色(默認為藍色),所有內置規則不允許被刪除,內置應用程序規則不能被禁用。
在規則中使用通配符
您可以使用 '*' 和 '?' 作為通配符,'*' 表示零個或多個字符,'?' 表示任意單個字符。
在使用通配符匹配文件目錄或註冊表項時有一個特例,例如對於文件夾“c:\xxx”,“c:\xxx\*”可以成功匹配。
在規則中使用相對路徑
您可以在文件規則、子應用程序規則、目標應用程序規則、驅動程序規則、鈎子模塊規則、動態鏈接庫規則以及允許執行的應用程序中使用相對路徑。相對路徑必須以".\"(當前目錄)或"..\"(父目錄)開始,可以包含多個"..\"。
在規則中使用環境變量
本軟件自動處理環境變量。當保存規則文件時,文件路徑中如果包含環境變量對應的字符串,此字符串將以環境變量代替。當加載規則文件時,文件路徑中的環境變量將自動展開。
本軟件支持以下環境變量:
%TEMP% %APPDATA% %USERPROFILE% %ALLUSERSPROFILE% %ProgramFiles% %SystemRoot% %SystemDrive% 組
組用來管理需要設置為相同權限的規則對象。當您創建了一個組時,它並不會顯示在規則窗口中,您必須創建一條規則來使用它。組也可以用於應用程序規則中的子應用程序規則、文件規則和註冊表規則。
應用程序組中的成員可以擁有私有的權限設置,並有着更高的優先級,只有當組成員的權限設置為“忽略”時,才使用組的權限設置。
規則匹配方式
規則從高優先級到低優先級(從下向上)進行搜索,如果找到一個匹配的規則,就檢查其權限,如果權限不為“忽略”,則停止搜索,否則繼續搜索其他規則。
如果檢測到一個創建進程操作,本軟件還將查找子進程匹配的應用程序規則,如果匹配規則的執行權限不為“允許”,並且規則優先級高於父進程匹配的規則,則使用子進程的執行權限。
Malware Defender常見問題
什麼是Malware?
Malware是英文“malicious software”的簡稱,意思是惡意軟件,是指任何對計算機系統有害的軟件。因此, malware包含病毒、蠕蟲、木馬、廣告軟件、間諜軟件、按鍵記錄軟件、rootkit等。
什麼是HIPS?
HIPS是英文“Host Intrusion Prevention System”的縮寫,意思是主機入侵防禦系統,使用基於規則和行為的監控來防禦對系統的非法修改。HIPS可以與傳統殺毒軟件一起使用,為您的計算機系統提供多一層的保護。
為什麼下載內核符號文件失敗?
主要有兩種可能的原因。一種原因是MD由於網絡問題無法連接微軟的公共符號服務器。另一種原因是符號服務器上不存在對應的內核符號文件,例如微軟一般不為測試版的Windows提供符號文件。如果沒有內核符號文件,一些ARK功能將不能使用,但是所有的HIPS功能都不受影響。