目录
Malware Defender使用帮助
Malware Defender主要功能
Malware Defender 是一个 HIPS (主机入侵防御系统)软件,它可以有效的保护您的计算机系统免受恶意软件(病毒、蠕虫、木马、广告软件、间谍软件、按键记录软件、rootkit 等)的侵害。目前,360公司已收购Malware Defender。Malware Defender 也是一个 rootkit 检测软件,它提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件。
无论您是否是一个计算机专家用户,Malware Defender 都是您保护您的系统的理想选择。
Malware Defender
主要功能:一、实时保护系统:监控对进程、文件和注册表的可疑操作。
能够检测到各种已知和未知的恶意软件。 提供学习模式和安静模式。
比较高的性能和比较低的资源占用。
二、进程管理器:
检测隐藏进程和线程。
检测未通过签名验证的进程和模块。
使用底层技术结束进程和线程。
Malware Defender安装界面
挂起/恢复进程和线程。卸载进程模块。关闭进程句柄。
三、内核模块管理器:
检测隐藏内核模块和内核线程。
检测未通过签名验证的内核模块。
结束、挂起或恢复内核线程。
删除内核延迟调用定时器。
四、钩子检测器:
检测并恢复系统服务表钩子(SSDT钩子)。
检测并恢复Win32K服务表钩子(shadow SSDT钩子)。
检测并恢复中断描述表钩子(IDT钩子)。
检测并恢复SYSENTER处理例程。
检测并恢复内核对象钩子。
检测并恢复系统通知例程。
检测并恢复内核模式代码钩子。
检测并恢复用户模式代码钩子。
检测并恢复全局消息钩子。
检测附加设备。
检测驱动程序分发例程。
五、自动运行程序管理器:
搜索所有已知的自动运行程序所在位置。
检测隐藏自动运行程序。
检测新增的自动运行程序。
允许撤销和重做对自动运行程序的删除操作。
六、文件浏览器:
检测隐藏的文件和文件夹。
显示和删除NTFS数据流。
删除使用中的文件。
七、注册表器:
全功能注册表器。
检测隐藏注册表条目。
Malware Defender软件安装
系统需求:
Windows 2000 (Service Pack 4)
Windows XP (32-bit)
Windows 2003 (32-bit)
Windows Vista (32-bit)
Windows 2008 (32-bit)
Windows 7 (32-bit)
Windows8(32-bit)
Windows8.1 (32-bit)
Windows10(32-bit)
安装
执行下载的安装程序。
卸载
执行开始菜单Malware Defender 中的 'Uninstall',或者在控制面板 '添加/删除程序' 中双击 'Malware Defender'
软件带有帮助文件,可以使用帮助文件认识软件主要功能与选项
Malware Defender快捷键
下表列出了 Malware Defender 中的快捷键。
快捷键 | 说明 |
F1 | 打开帮助文件 |
Alt + F4 | 退出 Malware Defender |
Alt + Enter | 打开属性对话框 |
Ctrl + A | 选中列表中的全部项目 |
Ctrl + Z | 撤销步操作 |
Ctrl + Y | 重新执行先前已撤销的操作 |
Ctrl + C, Ctrl + Ins | 复制被选内容并将其置于剪贴板上 |
Ctrl + X, Shift + Del | 剪切被选内容并将其置于剪贴板上 |
Ctrl + V, Shift + Ins | 插入剪贴板内容 |
Del | 删除被选内容 |
F2 | 重命名被选内容 |
Ctrl + F | 打开查找对话框 |
Alt + D | 激活地址栏 |
Ctrl + H | 显示或关闭进程句柄窗口 |
Ctrl + M | 显示或关闭进程模块窗口 |
F4 | 激活地址栏并显示地址历史列表 |
F5 | 刷新显示 |
F7 | 在MDI窗口和当前浮动面板窗口之间切换 |
Ctrl + F7 | 切换到下一个浮动面板窗口 |
Ctrl + Shift + F7 | 切换到上一个浮动面板窗口 |
Tab | 在各MDI窗口中的切分窗口之间切换 |
Ctrl + Tab | 切换到下一个MDI窗口 |
Ctrl + Shift + Tab | 切换到上一个MDI窗口 |
Alt + Up Arrow | 在文件或注册表窗口中显示上一层内容 |
Alt + Left Arrow | 跳转到访问历史中的前一项 |
Alt + Right Arrow | 跳转到访问历史中的下一项 |
Ctrl + Alt + Up Arrow | 减小规则优先级 |
Ctrl + Alt + Down Arrow | 增加规则优先级 |
Applications key, Shift + F10 | 显示上下文菜单 |
Malware Defender规则概述
Malware Defender使用规则来决定当检测到可疑操作时如何处理,您应该理解规则的工作原理,并且仔细管理规则,尤其是名称为“*”的默认规则。如果赋予默认规则不恰当的权限,将影响系统的安全,所以一般不要修改默认规则的权限。
规则状态
规则状态有如下几种:
已启用- 已启用的规则。
已禁用 -已禁用的规则。
临时的- 已启用的临时规则。
临时规则将在进程退出时自动删除,如果您对临时规则执行启用或禁用操作,它将成为一个规则。
规则权限
每个规则的基本权限如下:
读权限- 用于文件规则。(如果读权限为阻止,修改、创建及删除权限也将强制为阻止。)
创建权限- 用于文件规则。(允许创建权限将允许新建不存在的文件,并且在文件关闭前默认允许修改文件。)
删除权限- 用于文件规则。
修改权限- 用于文件规则或注册表规则。(对于文件规则,包含设置隐藏属性和修改权限操作;对于注册表规则,包含创建 ,删除和修改属性操作。)
执行权限 -用于钩子模块规则、驱动程序规则或应用程序规则。
权限类别
权限有以下可选的类别:
允许- 允许执行当前操作。
阻止- 阻止执行当前操作。
阻止并结束进程- 阻止执行当前操作,并且结束执行操作的进程。(系统应用程序不允许被结束进程)
询问 -询问用户。
忽略 -继续搜索其他较低优先级的规则。
规则优先级
当添加一个规则,Malware Defender将赋予其同一类型中的优先级,但是您可以使用上下文菜单或者鼠标拖放来修改优先级。
对于文件、注册表和网络操作,应用程序规则中的 文件/注册表/网络 规则优先级高于全局 文件/注册表/网络 规则。
内置规则
内置规则显示为特殊颜色(默认为蓝色),所有内置规则不允许被删除,内置应用程序规则不能被禁用。
在规则中使用通配符
您可以使用 '*' 和 '?' 作为通配符,'*' 表示零个或多个字符,'?' 表示任意单个字符。
在使用通配符匹配文件目录或注册表项时有一个特例,例如对于文件夹“c:\xxx”,“c:\xxx\*”可以成功匹配。
在规则中使用相对路径
您可以在文件规则、子应用程序规则、目标应用程序规则、驱动程序规则、钩子模块规则、动态链接库规则以及允许执行的应用程序中使用相对路径。相对路径必须以".\"(当前目录)或"..\"(父目录)开始,可以包含多个"..\"。
在规则中使用环境变量
本软件自动处理环境变量。当保存规则文件时,文件路径中如果包含环境变量对应的字符串,此字符串将以环境变量代替。当加载规则文件时,文件路径中的环境变量将自动展开。
本软件支持以下环境变量:
%TEMP% %APPDATA% %USERPROFILE% %ALLUSERSPROFILE% %ProgramFiles% %SystemRoot% %SystemDrive% 组
组用来管理需要设置为相同权限的规则对象。当您创建了一个组时,它并不会显示在规则窗口中,您必须创建一条规则来使用它。组也可以用于应用程序规则中的子应用程序规则、文件规则和注册表规则。
应用程序组中的成员可以拥有私有的权限设置,并有着更高的优先级,只有当组成员的权限设置为“忽略”时,才使用组的权限设置。
规则匹配方式
规则从高优先级到低优先级(从下向上)进行搜索,如果找到一个匹配的规则,就检查其权限,如果权限不为“忽略”,则停止搜索,否则继续搜索其他规则。
如果检测到一个创建进程操作,本软件还将查找子进程匹配的应用程序规则,如果匹配规则的执行权限不为“允许”,并且规则优先级高于父进程匹配的规则,则使用子进程的执行权限。
Malware Defender常见问题
什么是Malware?
Malware是英文“malicious software”的简称,意思是恶意软件,是指任何对计算机系统有害的软件。因此, malware包含病毒、蠕虫、木马、广告软件、间谍软件、按键记录软件、rootkit等。
什么是HIPS?
HIPS是英文“Host Intrusion Prevention System”的缩写,意思是主机入侵防御系统,使用基于规则和行为的监控来防御对系统的非法修改。HIPS可以与传统杀毒软件一起使用,为您的计算机系统提供多一层的保护。
为什么下载内核符号文件失败?
主要有两种可能的原因。一种原因是MD由于网络问题无法连接微软的公共符号服务器。另一种原因是符号服务器上不存在对应的内核符号文件,例如微软一般不为测试版的Windows提供符号文件。如果没有内核符号文件,一些ARK功能将不能使用,但是所有的HIPS功能都不受影响。
参考资料
相关搜索relevant search
目录