【IT168 专稿】2008年的互联网，依旧像往年一样动荡不安，并且各种木马病毒事件也依然层出不穷，在面对各种木马攻击热潮不断掀起之时，众多杀毒软件显得格外疲惫，很难招架如此猛烈的攻击。于是笔者从网上找到了一款比冰刃更加优秀的反病毒辅助查杀工具，它就是集成最为流行的HIPS主动防御功能的天琊。

　　“天琊 V1.0(测试版)”是一款集进程管理，文件管理、SSDT服务表管理、SHADOW服务表管理、内核模块察看、Inline Hook扫描、日志导出、保险箱、主动防御(主要针对保险箱功能)于一身的强大的安全反病毒辅助工具，是用户保护电脑的必备工具。不过要注意的是目前该软件只支持Windows 2003、Windows XP、Windows 2000、Windows 9X运行环境，并不支持Windows Vista系统，所以使用Vista系统用户，还需等待天琊的升级版问世。

　　利用天琊从进程里找“马脚”

　　众所周知，木马和病毒要想生存，必须在受害主机里插入进程，或者对系统已有进程采取注入、Rootkit等方式来隐藏自己进行运行。所以通常当大家中毒后，也都会从进程来寻找木马病毒的蛛丝马迹，但是由于国内第三检查工具的业余，经常会有木马病毒漏网的情况出现，因此这里不妨运行“天琊”安全工具，单击上方“进程”按钮，即可帮你快速找到潜伏很深的木马病毒。

　　打开“天琊进程”管理界面，大家可以清楚的看到每个运行进程的检测信息，这里“状态”标识最为重要，一般用于查找Rookit隐藏木马，即标记为“隐藏”文字标识就很有可能是木马进程了。“映像名”、“PID”栏则识别进程，而后面的父PID栏，我们一般通过它来查找创建此进程的父ID，从而可以方便找到木马病毒所调用的进程。用户名则是运行进程的权限，进程路径顾名思义就是所对应的进程文件路径(图1)。

　　刚才笔者已经讲到通过“状态”标识，可以很快找到采用Rootkit隐藏木马的进程，但是不排除有些木马有反检查的功能，所以软件还为大家提供了三种检查隐藏木马进程的方式，让其伪装木马无路可逃。在进程管理界面里，右击某个进程名称，在弹出快捷菜单内，可以选择三种进程检测(图2)。

　　“枚举进程方式1”是通过枚举Session Processlinks链表实现进程列表显示，而且它还按启动顺序排列进程，最后启动的进程排在列表的第一位，因此可以很方便的通过启动时间来判断隐藏木马了。“枚举进程方式2”采用枚举系统句柄表方式来显示进程，而这种优点在于它可以显示出已退出的隐藏进程。“枚举进程方式3”综合前两种枚举进程的方式，来检测出Rootkit隐藏木马进程。如果通过以上的方法，发现了木马进程存在，那肯定是要删除了，天琊为大家提供了四种终止木马进程的方案。

　　这里在界面里右击木马进程，选择“终止进程”选项，就会以普通方式结束进程。选择“强制终止”选项后，即使有些木马带有进程保护装置，也会被天琊的强制功能结束掉(图3)。而在下方的“高级操作”子菜单里有两种进程终止方式：第一种特征码终止则是在常规结束进程基础上加上了特征验证码，来阻止程序启动。第二种特征码强制终止则是在强制终止方式基础上，加上了特征码验证来让木马进程无法再次被运行。

　　一般来说我们只用前两种方式来结束木马进程，而后两种方式则是应用到对木马病毒的进程守护，以防止木马进程再次被启动。当然这里也不排除，你无意禁止了某个正常的进程，可以依次选择“高级操作”→“特征码管理”选项，然后在弹出的“管理界面”内，选择“禁止”单选框，此时就会显示出被禁止的程序进程，从中选择无意禁止的进程后，单击“删除”按钮，就可恢复其正常进程的运行。

　　另外天雅这款软件，还提供了对其他进程的检测功能，例如线程枚举、模块查找与浏览等，特别是线程枚举里的“检测方式2”，可非常准确的查找出，电脑里隐藏的线程隐藏木马，这是其他同类软件不多见的检测功能。当然如果你想要对DLL型注入木马进行检测，或许以上所介绍的检测就用不上了，不过软件为大家考虑的很周全，对模块提供了两种检测方式，例如“枚举模块方式1”通过先后加载排列顺序，可以很轻松找到陌生的可疑木马。而通过“枚举模块方式2”的查询功能，可找到电脑里木马病毒的DLL文件宿主，从而可以将木马病毒一网打尽。