[技术信息]简单几步教你如何使用Malware Defender

选择字号： 超大 标准 技术小哥 发布于2014年03月14日 属于 其他分享 栏目  -1个评论 7588人浏览

 Malware Defender是一款主机入侵防御系统，原为个人收费软件，被奇虎360收购后实行免费，Malware Defender不同于Mamutu、ThreatFire等智能HIPS，Malware Defender和Safe'n'Sec Persona一样都是手动HIPS，规则需要自己介入，相比之下操作难度更大，但是也更安全。Malware Defender 在windows平台几乎无所不能，可以装在收费软件给热定软件设置运行权限，其它软件无法运行或需征求同意后才可运行，配置好的策略用起来效果比杀毒软件强的多，也可以绿化某某软件，破解简单批处理等等 。Malware Defender是个非常出色的工具。下面就来介绍下功能。

软件安装

系统需求：

Windows 2000 (Service Pack 4)

Windows XP (32-bit)

Windows 2003 (32-bit)

Windows Vista (32-bit)

Windows 2008 (32-bit)

Windows 7 (32-bit)
 

 主要功能：
 

一、强大的过程监控功能（下图红色区域）
       
       该功能为记录客户机的应用程序操作日志记录，监控对进程、文件和注册表的可疑操作。可应用于游戏打不开、进程莫名其妙消失、随机弹出的网页、都可以清楚的看到记录的。记录的操作包括，创建进程、访问网络、安装驱动、安装服务、创造文件、更改文件属性、读取dll等多种操作类型。详细案例阿里旺旺打不开

二：进程模块句柄查询
        

      用模块可以清楚的看到当前进程被注入的dll加载项，可以看到当前dll的数字签名、验证等信息，可以有利于排查IE潜入类型广告，傀儡型广告捕捉过程。 下面讲解下捕捉到的案例，下面三幅图的意思是过滤王的实名软件注入explorer。exe后释放了傀儡文件47643.DLL然后重新注入到了explorer里面，显然这个文件名称是随机的。然后客户机弹出了Explorer报错报错的位置是03D8E5大致的，通过查询到exporer的注入项找到了基地址，抓住了真凶！
      

 

 

 

 三：网络端口监控

 

        点下网络端口状态的话，会可以清楚看到当前的机器网络端口状态，类似于netstat -ao 命令之类的，比如有的人喜欢把3389的远程端口改成了9911造成了控制台打不开之类的，我们就可以在这边看到当前9911被谁占用了，再进一步分析的到的。或者路由器里面看到有流量在上传但是找不到是哪个进程引起的，通过路由器提示的连接IP。用该工具也可以找到的。

四：文件管理 

 

       文件管理包含了文件查找，文件删除功能！包括了如果当前有进程正在读取的文件，设置了有权限的文件都可以直接通过该面板直接删除的，是个非常强大的文件管理功能！案例如下
  
                                         

五：进程管理
       进程管理包含了进程结构分析，进程强行结束，模块基地址查询

 

       下面是模块搜索功能介绍，通过搜索按钮可以快速查找到某某dll是否正在被进程使用。如下图所示，我们可以快速的查找出cpuidsdk.dll有没有被人使用，如果发现某某dll文件无法删除的时候也可以通过该功能来搜索看看当前dll被谁挂在进去了。

 

小插曲：该软件可设置用户密码防止他人改动电脑策略

百度百科：

Malware Defender使用规则来决定当检测到可疑操作时如何处理，您应该理解规则的工作原理，并且仔细管理规则，尤其是名称为“*”的默认规则。如果赋予默认规则不恰当的权限，将影响系统的安全，所以一般不要修改默认规则的权限。

规则状态

规则状态有如下几种：

已启用- 已启用的永久规则。

已禁用 -已禁用的永久规则。

临时的- 已启用的临时规则。

临时规则将在进程退出时自动删除，如果您对临时规则执行启用或禁用操作，它将成为一个永久规则。

规则权限

每个规则的基本权限如下：

读权限- 用于文件规则。（如果读权限为阻止，修改、创建及删除权限也将强制为阻止。）

创建权限- 用于文件规则。（允许创建权限将允许新建不存在的文件，并且在文件关闭前默认允许修改文件。）

删除权限- 用于文件规则。

修改权限- 用于文件规则或注册表规则。(对于文件规则，包含设置隐藏属性和修改权限操作；对于注册表规则，包含创建 ，删除和修改属性操作。)

执行权限 -用于钩子模块规则、驱动程序规则或应用程序规则。

权限类别

权限有以下可选的类别：

允许- 允许执行当前操作。

阻止- 阻止执行当前操作。

阻止并结束进程- 阻止执行当前操作，并且结束执行操作的进程。(系统应用程序不允许被结束进程)

询问 -询问用户。

忽略 -继续搜索其他较低优先级的规则。

规则优先级

当添加一个规则，Malware Defender将赋予其同一类型中的最高优先级，但是您可以使用上下文菜单或者鼠标拖放来修改优先级。

对于文件、注册表和网络操作，应用程序规则中的 文件/注册表/网络 规则优先级高于全局 文件/注册表/网络 规则。

内置规则

内置规则显示为特殊颜色(默认为蓝色)，所有内置规则不允许被删除，内置应用程序规则不能被禁用。

在规则中使用通配符

您可以使用 '*' 和 '?' 作为通配符，'*' 表示零个或多个字符，'?' 表示任意单个字符。

在使用通配符匹配文件目录或注册表项时有一个特例，例如对于文件夹“c:\xxx”，“c:\xxx\*”可以成功匹配。

在规则中使用相对路径

您可以在文件规则、子应用程序规则、目标应用程序规则、驱动程序规则、钩子模块规则、动态链接库规则以及允许执行的应用程序中使用相对路径。相对路径必须以".\"(当前目录)或"..\"(父目录)开始，可以包含多个"..\"。

在规则中使用环境变量

本软件自动处理环境变量。当保存规则文件时，文件路径中如果包含环境变量对应的字符串，此字符串将以环境变量代替。当加载规则文件时，文件路径中的环境变量将自动展开。

本软件支持以下环境变量：

%TEMP% %APPDATA% %USERPROFILE% %ALLUSERSPROFILE% %ProgramFiles% %SystemRoot% %SystemDrive% 组

组用来管理需要设置为相同权限的规则对象。当您创建了一个组时，它并不会显示在规则窗口中，您必须创建一条规则来使用它。组也可以用于应用程序规则中的子应用程序规则、文件规则和注册表规则。

应用程序组中的成员可以拥有私有的权限设置，并有着更高的优先级，只有当组成员的权限设置为“忽略”时，才使用组的权限设置。

规则匹配方式

规则从高优先级到低优先级(从下向上)进行搜索，如果找到一个匹配的规则，就检查其权限，如果权限不为“忽略”，则停止搜索，否则继续搜索其他规则。

如果检测到一个创建进程操作，本软件还将查找子进程匹配的应用程序规则，如果匹配规则的执行权限不为“允许”，并且规则优先级高于父进程匹配的规则，则使用子进程的执行权限。 

（该文章由顺网小哥空余时间整理，转载他出请注明文章来源。谢谢！）

打赏

如果对你有帮助，快赞赏下作者吧。

标签：

• 上一篇：[技术信息]深度解析垂直同步到底怎么设置？
• 下一篇： [网维大师]简单几步教你学会快速处理游戏故障

猜你喜欢