一、PCHunter简介
PCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。
二、PCHunter功能
- 进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能
- 内核驱动模块查看,支持内核驱动模块的内存拷贝
- SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook
- CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除
- 端口信息查看,目前不支持2000系统
- 查看消息钩子
- 内核模块的iat、eat、inline hook、patches检测和恢复
- 磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
- 注册表编辑
- 进程iat、eat、inline hook、patches检测和恢复
- 文件系统查看,支持基本的文件操作
- 查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME
- ObjectType Hook检测和恢复
- DPC定时器检测和删除
- MBR Rootkit检测和修复
- 内核对象劫持检测
- WorkerThread枚举
- Ndis中一些回调信息枚举
- 硬件调试寄存器、调试相关API检测
- 枚举SFilter/Flgmgr的回调
- 系统用户名检测
三、使用场景
进程查看推荐使用procexp比较友好。PCHunter对于其他系统信息的查看功能,非常强大。
(1)查看一些隐藏进程,能结束一些procexp无法结束的进程。能暂停和恢复进程执行。
(2)查看进程的窗口、模块、内存。
(3)查看进程的线程,结束、暂停线程。
(4)查看系统内的驱动,隐藏驱动。分类查看(比如查看某一厂商的所有过滤驱动)。
(5)查看系统的钩子、手动卸载钩子。包括内核钩子、应用层钩子。
(6)查看文件(查看隐藏文件)、查看文件锁定情况、强制删除文件。
四、PCHunter分析应用层钩子
什么是应用层钩子
(1)应用程序必须依附一定的驱动才能运行,那些用于帮助应用程序通过系统验证,并正常运行的钩子就被称作应用层钩子。
(2)应用程序启动时,需要通过应用层钩子将消息发送给系统,通过系统验证后,消息再通过钩子发送给应用程序,如果这些消息被拦截,将会出现很严重的后果。
如何分析应用层钩子
(1)分析应用层钩子主要注意消息钩子,尤其是全局消息钩子,一般情况下,就是通过病毒截取全局钩子消息,来窃取自己想要的信息。比如键盘钩子,就是通过截取应用层键盘信息,将键盘的输入信息,截取后保存到txt文件中。
(2)在使用PC Hunter检测应用层钩子的时候,遇到红色显示情况,一定要引起大家足够的注意。但是切忌马上卸载,我们首先要查看进程路径。然后定位到文件管理器,校验数字签名。通过微软数字签名的一般不会有问题。
参考链接:
1、https://blog.csdn.net/dpsying/article/details/51894071
2、https://www.beihaiting.com/a/WKN/WAQ/20140629/4815.html