工具 | PC Hunter——恶意代码检测工具

工具 | PC Hunter——恶意代码检测工具

PC Hunter 是一款功能强大的Windows系统信息查看软件，同时也是一款强大的手工杀毒软件，用它不但可以查看各类系统信息，也可以揪出电脑中的潜伏的病毒木马。

此外，PC Hunter 还大量使用了 Windows 内核技术，尤其是为了做一些检测而使用了些 Windows 未公开的内核数据结构。

本工具实现如下功能：

1.进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看，支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除
5.端口信息查看，目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看，支持基本的文件操作
12.查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
17.WorkerThread枚举
18.Ndis中一些回调信息枚举
19.硬件调试寄存器、调试相关API检测
20.枚举SFilter/Fltmgr的回调
21.系统用户名检测

官网地址：
http://www.xuetr.com/

有什么软件能检测劫持LSP的恶意插件的.别说360不行?!

一 什么是LSP协议？ LSP全称为Layered Service Provider，中文名为分层服务提供程序。LSP就是TCP/IP协议等的接口．LSP用在正途上可以方便程序员们编写监视系统网络通讯情况的Sniffer，可是现在常见的LSP都被用于浏览器劫持 二Winsock LSP(Layered Service Provider)“浏览器劫持”是什么意思? Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置，进行LSP“浏览器劫持”，所有与网络交换的信息都要通过这些间谍软件，从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件，它们是安装一些软件时带来的你不想要的东西。三 如何使用360安全卫士的修复网络链接功能？ 1.如果电脑的LSP协议被劫持，例如：访问网站时弹出窗口或经常被重定向到其他网站，即可使用360安全卫士的“修复winsock LSP” 2.如果使用修复winsock LSP后无法访问网络，则可将winsock LSP恢复到安装360安全卫士时的初始状态，以确保网络链接可用。

劫持侦测未开启什么意思

您是想问劫持检测未开启是什么意思？其意思如下：
“劫持检测未开启”是指电脑或移动设备的浏览器或防病毒软件未开启或未启用“劫持检测”功能。劫持是一种网络攻击行为，攻击者通过篡改用户电脑或设备的网络连接、DNS解析或HTTP请求等方式，使用户访问到非法网站或被恶意软件攻击，造成数据被窃取、个人信息泄露、资金损失等严重后果。
为了保障用户的网络安全，很多浏览器和防病毒软件都加入了“劫持检测”功能。当用户访问网站时，浏览器或防病毒软件会检测网络连接是否被劫持，并提醒用户是否访问安全。但是如果用户未开启该功能，那么浏览器或防病毒软件就无法检测网络连接是否被劫持，从而无法提供保护。

IE被劫持了，高手帮忙在线等

下个超级兔子那类的软件
修复IE就没事了
超级兔子IE管理专家 v6.95 Final 企业版
http://www.ttdown.com/SoftView/SoftView_26534.html
超级兔子魔法设置优化王/全能王 v7.10 Final 正式版 [五星]
http://www.ttdown.com/SoftView/SoftView_25747.html
超级兔子魔法设置 7.15版
下载地址：http://www.onlinedown.net/soft/2636.htm
一、超级兔子上网精灵7.15
1 可免疫605种IE插件，包括最新的雅虎助手
二、超级兔子优化王7.1
1 新增超过600种启动软件识别
2 新增统计文件夹排序功能
3 修正排除文件夹的Bug
4 更新专业卸载功能
更新 网络猪 卸载
新增 雅虎助手 卸载
新增 金山安全助手 卸载
新增 天网广告 卸载
5 可卸载54种软件
无需进入安全模式，只要重新启动即可完整卸载
IE插件
RealPlayer
划词搜索
网络猪
很棒小秘书
中文搜索
小蜜蜂
Dudu下载加速器
DMCast 桌面传媒
新浪点点通
新浪iGame 游戏总动园
17lele网游
完美网译通
搜一搜
网易搜霸
Alibaba 商机直通车
迷你讯雷
迷你PP
虎翼DIY吧
青娱乐
5188彩信助手
中文通
联众世界
博采网摘
IE伴郎
8848天下搜索
8848购物搜索
太极天下搜索
易趣购物
易趣工具条
NetFish 网络钓鱼克星
搜狗直通车
CopySo拷贝搜
ISC
网址极限
娱乐心空
MMSAssist彩信通
iBar
WinStdup
雅虎助手
金山安全助手
天网广告
3721上网助手
3721网络实名
3721搜索助手
3721下载专家
360搜
一搜工具条
CNNIC中文上网官方版
CNNIC无忧上网
百度上网伴侣
百度搜霸
百度超级搜霸
三、超级兔子IE修复专家7.15
1 新增广告软件检测功能
四、超级兔子魔法设置7.15
1 新增超过600种启动软件识别
五、完全免费，无需注册，无需设置IE主页，
即可使用所有功能，提供免费在线升级
不捆绑任何其它软件。
软件介绍：
常用的Windows设置软件，清晰的分类让你迅速找到相关功能，提供几乎所有Windows的隐藏参数调整。优化系统、清除垃圾、解决你碰到的各种问题。超级兔子优化王软件是超级兔子经过3年时间完善后，专门为初学电脑用户制作的，强力系统优化软件。不管你用的是Windows 95/98/Me，还是Windows 2000/XP，优化王的都能自动将系统分析，提供相应的方案，让电脑更好地工作。
序列号（用户）：HLMSP5842
注册码（密码）：MSCNC-DDJOG-OGQXF-BQSTE-LUVJC
序列号（用户）：JXMSP17139
注册码（密码）：MSCNC-COPGN-SWBKW-WAQBU-EDGOS
超级兔子IE专家用户名及序列号
用户名：JXMSP17139
序列号：mscnc-copgn-swbkw-waqbu-edgos
2005-8-21 超级兔子魔法设置7.05 升级
1 修正优化王清理注册表时的CNNIC问题
2 增加新版百度超级搜霸的专业卸载
3 修正开始按钮修改的Bug
4 修正上网精灵屏蔽网址的详细设置的Bug
5 增加软件菜单速度设置

为什么用电信宽带助手体检老是检测DNS劫持，可能被劫持，点击一件恢复没有反应

尊敬的用户，您好！根据您的描述。
DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。
中国电信上网助手软件为保障用户的个人财产和隐私安全，也在第一时间更新了“网络体检”功能，增加了DNS劫持检测；为了简化用户操作，在“路由器管理”功能中，更为网民提供了一键备份功能，当用户PC的IP地址、DNS、拨号连接配置等资料意外丢失时，一键备份功能可恢复以上数据，让用户安全无忧。
安徽电信4G在情人节正式发布啦。电信4G速度快，TDD-LTE下载可以达到100Mbps，未来FDD-LTE可达到150Mbps；与3G网络无缝对接，保障上网速度；网内资源丰富，上网不卡；兼容性强，全球漫游不用换机换卡。
目前安徽电信网厅开展相关手机优惠活动。如果需要购机请登录安徽电信网厅商城购买最新手机。如需查账单、交话费请登陆安徽电信网上营业厅，满100送2元。谢谢您对电信产品的关注，祝您生活愉快。如您还有其他疑问，欢迎来电信知道平台或电信官网提问，会有更多专业客服为您解答。

怎么检测网站dns被劫持？

DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。
DNS劫持是网络十分常见和凶猛的一种攻击手段，且不轻易被人察觉。曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗，黑客们利用缺陷对用户的DNS进行篡改，成功后可躲过安全软件检测，让用户被钓鱼网站诈骗。
DNS劫持会做哪些事情？
操作系统中的host文件被修改，host文件的优先级是高于DNS服务器的，操作系统在访问某个域名的时候会先检测host文件。如果你的host文件被修改，那么很可能就是被劫持了，在劫持范围内的域名都会被跳转到不正常的ip，也许就是某个钓鱼网址，后果可想而知。
最常见也是最不容易察觉的方式：修改路由器DNS服务器配置。
这种方式最为坑爹，但是却是最为实用和有效的方法，因为重装系统会重置host文件以及一些浏览器缓存之类的，但是路由器一般人们不会轻易去重置它。
IIS7网站监控可以做到提前预防各类网站劫持、并且是免费在线查询、适用于各大站长、政府网站、学校、公司、医院等网站。他可以做到24小时定时监控、同时它可以让你知道网站是否被黑、被入侵、被改标题、被挂黑链、被劫持、被墙及DNS是否被污染等等功能、更是拥有独家检测网站真实的完全打开时间、让你作为站长能清楚地知道自己网站的健康情况！

我手机下载一个网址，显示网络劫持真机检测是什么意恩？

我手机下载一个网址，显示网络劫持真机检测是什么意恩？指的是链路层劫持，一般是第三方通过用于服务器连接的网络过程中插入设备/控制网路设备，
用来监听、修改 用户与服务器之间的数据交互行为，从而获取用户的隐私数据。【注意：第三方可能是黑心运营商、黑客等】。如果遇到链路层劫持的提示，建议联系ISP进行确认，对于敏感操作可以通过安全链接（HTTPS）来登陆。
解决办法:
1.
手工修改注册表,需要一定的动手能力.
2.
用软件解决,常用的有"上网助手"或一些杀毒软件. 转摘:网页恶意代码的预防 (瑞星公司) 1、要避免被网页恶意代码感染，首先关键是不要轻易去一些自己并不十分知晓的站点，尤其是一些看上去非常美丽诱人的网址更不要轻易进入，否则往往不经易间就会误入网页代码的圈套。
3.
当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高”。
4.
因为这一类网页主要是含有恶意代码的ActiveX或Applet、 Javascript的网页文件，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。

电脑里的杀毒软件检测到“映像劫持”，要求清楚该项，请问映像劫持是什么？有着怎样的威胁？

所谓的映像劫持（IFEO）就是Image File Execution Options，位于注册表的[HKEY_LOCAL MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。通俗一点来说，就是比如我想运行QQ.exe(记事本），结果运行的却是运行了notepad.exe(记事本），也就是说在这种情况下，QQ程序被notepad给劫持了，即你想运行的程序被另外一个程序代替了。映像劫持病毒 虽然映像劫持是系统自带的功能，对我们一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了。但是与一般的木马，病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行，而是等到你运行某个特定的程序的时候运行，这也抓住了一些用户的心理，一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。映像劫持病毒主要通过修改注册表中的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution options] 项来劫持正常的程序，比如有一个病毒 vires.exe 要劫持 qq 程序，它会在上面注册表的位置新建一个qq.exe项，再这个项下面新建一个字符串的键值 debugger 内容是：C:WINDOWSSYSTEM32ABC.EXE(这里是病毒藏身的路径)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。映像胁持的基本原理 WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确”等等。把这些键删除后，程序就可以运行！ 映像劫持的应用 ★禁止某些程序的运行 先看一段代码： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsqq.exe] "Debugger"="notepad.exe" 使用记事本，把上面这段代码复制到记事本中，并另存为 ABC.reg，双击导入注册表，打开你的QQ看一下效果！ 这段代码的作用是双击运行QQ的时候，系统都打开记事本，原因就是QQ被重定向了。如果要让QQ继续运行的话，把notepad.exe改为QQ.exe的绝对路径就可以了。★偷梁换柱恶作剧 每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符窗口，下面就教你怎么玩： Windows Registry Editor Version 5.00 [HKEY_LOCAL MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionstaskmgr.exe] "Debugger"="C:WINDOWSpchealthhelpctrbinariesmsconfig.exe" 将上面的代码在记事本中另存为 task_cmd.reg，双击导入注册表。按下那三个键看是什么效果，不用我说了吧，是不是很惊讶啊！精彩的还在后头呢！

以上的文章内容工具 | PC Hunter——恶意代码检测工具就是小编最近整理出来的，大家可以互相讨论吐槽发表自己的观点哦~！查看更多相关文章请访问牛求艺（本文合计7876字）