“Malware Defender”的意思、由来-中文百科全书

简介

软件名称　Malware Defender　　作者　sandworm

软件类型　主机入侵防御系统　　是否收费　免费

语言　简体中文、英语　　　原为个人收费软件，被360收购后实行免费不同于Mamutu、ThreatFire等智能HIPS,Malware Defender同COMODO一样都是手动HIPS，规则需要自己介入，相比之下操作难度更大，但是也更安全。

Malware Defender 是一个 HIPS (主机入侵防御系统)软件，它可以有效的保护您的计算机系统免受恶意软件(病毒、蠕虫、木马、广告软件、间谍软件、按键记录软件、rootkit 等)的侵害。目前，360公司已收购Malware Defender。Malware Defender 也是一个 rootkit 检测软件，它提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件。

无论您是否是一个计算机专家用户，Malware Defender 都是您保护您的系统的理想选择。

主要功能：一、实时保护系统：

监控对进程、文件和注册表的可疑操作。

能够检测到各种已知和未知的恶意软件。提供学习模式和安静模式。

比较高的性能和比较低的资源占用。

二、进程管理器：

检测隐藏进程和线程。

检测未通过签名验证的进程和模块。

使用底层技术结束进程和线程。

挂起/恢复进程和线程。卸载进程模块。

关闭进程句柄。

三、内核模块管理器：

检测隐藏内核模块和内核线程。

检测未通过签名验证的内核模块。

结束、挂起或恢复内核线程。

删除内核延迟调用定时器。

四、钩子检测器：

检测并恢复系统服务表钩子(SSDT钩子)。

检测并恢复Win32K服务表钩子(shadow SSDT钩子)。

检测并恢复中断描述表钩子(IDT钩子)。

检测并恢复SYSENTER处理例程。

检测并恢复内核对象钩子。

检测并恢复系统通知例程。

检测并恢复内核模式代码钩子。

检测并恢复用户模式代码钩子。

检测并恢复全局消息钩子。

检测附加设备。

检测驱动程序分发例程。

五、自动运行程序管理器：

搜索所有已知的自动运行程序所在位置。

检测隐藏自动运行程序。

检测新增的自动运行程序。

允许撤销和重做对自动运行程序的删除操作。

六、文件浏览器：

检测隐藏的文件和文件夹。

显示和删除NTFS数据流。

删除使用中的文件。

七、注册表编辑器：

全功能注册表编辑器。

检测隐藏注册表条目。

软件安装

系统需求：

Windows 2000 (Service Pack 4)

Windows XP (32-bit)

Windows 2003 (32-bit)

Windows Vista (32-bit)

Windows 2008 (32-bit)

Windows 7 (32-bit)

安装

执行下载的安装程序。

卸载

执行开始菜单Malware Defender 中的 'Uninstall'，或者在控制面板 '添加/删除程序' 中双击 'Malware Defender'

软件带有帮助文件，可以使用帮助文件认识软件主要功能与选项

快捷键

下表列出了 Malware Defender 中的快捷键。

快捷键　说明

F1　打开帮助文件

Alt + F4　退出 Malware Defender

Alt + Enter　打开属性对话框

Ctrl + A　选中列表中的全部项目

Ctrl + Z　撤销最后一步操作

Ctrl + Y　重新执行先前已撤销的操作

Ctrl + C, Ctrl + Ins　复制被选内容并将其置于剪贴板上

Ctrl + X, Shift + Del　剪切被选内容并将其置于剪贴板上

Ctrl + V, Shift + Ins　插入剪贴板内容

Del　删除被选内容

F2　重命名被选内容

Ctrl + F　打开查找对话框

Alt + D　激活地址栏

Ctrl + H　显示或关闭进程句柄窗口

Ctrl + M　显示或关闭进程模块窗口

F4　激活地址栏并显示地址历史列表

F5　刷新显示

F7　在MDI窗口和当前浮动面板窗口之间切换

Ctrl + F7　切换到下一个浮动面板窗口

Ctrl + Shift + F7　切换到上一个浮动面板窗口

Tab　在各MDI窗口中的切分窗口之间切换

Ctrl + Tab　切换到下一个MDI窗口

Ctrl + Shift + Tab　切换到上一个MDI窗口

Alt + Up Arrow　在文件或注册表窗口中显示上一层内容

Alt + Left Arrow　跳转到访问历史中的前一项

Alt + Right Arrow　跳转到访问历史中的下一项

Ctrl + Alt + Up Arrow　减小规则优先级

Ctrl + Alt + Down Arrow　增加规则优先级

Applications key, Shift + F10　显示上下文菜单

规则概述

Malware Defender使用规则来决定当检测到可疑操作时如何处理，您应该理解规则的工作原理，并且仔细管理规则，尤其是名称为“*”的默认规则。如果赋予默认规则不恰当的权限，将影响系统的安全，所以一般不要修改默认规则的权限。

规则状态

规则状态有如下几种：

已启用- 已启用的永久规则。

已禁用 -已禁用的永久规则。

临时的- 已启用的临时规则。

临时规则将在进程退出时自动删除，如果您对临时规则执行启用或禁用操作，它将成为一个永久规则。

规则权限

每个规则的基本权限如下：

读权限- 用于文件规则。（如果读权限为阻止，修改、创建及删除权限也将强制为阻止。）

创建权限- 用于文件规则。（允许创建权限将允许新建不存在的文件，并且在文件关闭前默认允许修改文件。）

删除权限- 用于文件规则。

修改权限- 用于文件规则或注册表规则。(对于文件规则，包含设置隐藏属性和修改权限操作；对于注册表规则，包含创建，删除和修改属性操作。)

执行权限 -用于钩子模块规则、驱动程序规则或应用程序规则。

权限类别

权限有以下可选的类别：

允许- 允许执行当前操作。

阻止- 阻止执行当前操作。

阻止并结束进程- 阻止执行当前操作，并且结束执行操作的进程。(系统应用程序不允许被结束进程)

询问 -询问用户。

忽略 -继续搜索其他较低优先级的规则。

规则优先级

当添加一个规则，Malware Defender将赋予其同一类型中的最高优先级，但是您可以使用上下文菜单或者鼠标拖放来修改优先级。

对于文件、注册表和网络操作，应用程序规则中的文件/注册表/网络规则优先级高于全局文件/注册表/网络规则。

内置规则

内置规则显示为特殊颜色(默认为蓝色)，所有内置规则不允许被删除，内置应用程序规则不能被禁用。

在规则中使用通配符

您可以使用 '*' 和 '?' 作为通配符，'*' 表示零个或多个字符，'?' 表示任意单个字符。

在使用通配符匹配文件目录或注册表项时有一个特例，例如对于文件夹“c:\\xxx”，“c:\\xxx\\*”可以成功匹配。

在规则中使用相对路径

您可以在文件规则、子应用程序规则、目标应用程序规则、驱动程序规则、钩子模块规则、动态链接库规则以及允许执行的应用程序中使用相对路径。相对路径必须以".\\"(当前目录)或"..\\"(父目录)开始，可以包含多个"..\\"。

在规则中使用环境变量

本软件自动处理环境变量。当保存规则文件时，文件路径中如果包含环境变量对应的字符串，此字符串将以环境变量代替。当加载规则文件时，文件路径中的环境变量将自动展开。

本软件支持以下环境变量：

%TEMP% %APPDATA% %USERPROFILE% %ALLUSERSPROFILE% %ProgramFiles% %SystemRoot% %SystemDrive% 组

组用来管理需要设置为相同权限的规则对象。当您创建了一个组时，它并不会显示在规则窗口中，您必须创建一条规则来使用它。组也可以用于应用程序规则中的子应用程序规则、文件规则和注册表规则。

应用程序组中的成员可以拥有私有的权限设置，并有着更高的优先级，只有当组成员的权限设置为“忽略”时，才使用组的权限设置。

规则匹配方式

规则从高优先级到低优先级(从下向上)进行搜索，如果找到一个匹配的规则，就检查其权限，如果权限不为“忽略”，则停止搜索，否则继续搜索其他规则。

如果检测到一个创建进程操作，本软件还将查找子进程匹配的应用程序规则，如果匹配规则的执行权限不为“允许”，并且规则优先级高于父进程匹配的规则，则使用子进程的执行权限。

常见问题

什么是Malware?

Malware是英文“malicious software”的简称，意思是恶意软件，是指任何对计算机系统有害的软件。因此, malware包含病毒、蠕虫、木马、广告软件、间谍软件、按键记录软件、rootkit等。

什么是HIPS?

HIPS是英文“Host Intrusion Prevention System”的缩写，意思是主机入侵防御系统，使用基于规则和行为的监控来防御对系统的非法修改。HIPS可以与传统杀毒软件一起使用，为您的计算机系统提供多一层的保护。

为什么下载内核符号文件失败?

主要有两种可能的原因。一种原因是MD由于网络问题无法连接微软的公共符号服务器。另一种原因是符号服务器上不存在对应的内核符号文件，例如微软一般不为测试版的Windows提供符号文件。如果没有内核符号文件，一些ARK功能将不能使用，但是所有的HIPS功能都不受影响。

词条	Malware Defender
释义	简介使用帮助(主要功能软件安装快捷键) 规则概述常见问题简介软件名称　Malware Defender　　作者　sandworm 版权所有　Qihoo 360　　最新版本　2.8.0.0001 软件类型　主机入侵防御系统　　是否收费　免费语言　简体中文、英语　　　原为个人收费软件，被360收购后实行免费不同于Mamutu、ThreatFire等智能HIPS,Malware Defender同COMODO一样都是手动HIPS，规则需要自己介入，相比之下操作难度更大，但是也更安全。使用帮助主要功能 Malware Defender 是一个 HIPS (主机入侵防御系统)软件，它可以有效的保护您的计算机系统免受恶意软件(病毒、蠕虫、木马、广告软件、间谍软件、按键记录软件、rootkit 等)的侵害。目前，360公司已收购Malware Defender。Malware Defender 也是一个 rootkit 检测软件，它提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件。无论您是否是一个计算机专家用户，Malware Defender 都是您保护您的系统的理想选择。主要功能：一、实时保护系统：监控对进程、文件和注册表的可疑操作。能够检测到各种已知和未知的恶意软件。提供学习模式和安静模式。比较高的性能和比较低的资源占用。二、进程管理器：检测隐藏进程和线程。检测未通过签名验证的进程和模块。使用底层技术结束进程和线程。挂起/恢复进程和线程。卸载进程模块。关闭进程句柄。三、内核模块管理器：检测隐藏内核模块和内核线程。检测未通过签名验证的内核模块。结束、挂起或恢复内核线程。删除内核延迟调用定时器。四、钩子检测器：检测并恢复系统服务表钩子(SSDT钩子)。检测并恢复Win32K服务表钩子(shadow SSDT钩子)。检测并恢复中断描述表钩子(IDT钩子)。检测并恢复SYSENTER处理例程。检测并恢复内核对象钩子。检测并恢复系统通知例程。检测并恢复内核模式代码钩子。检测并恢复用户模式代码钩子。检测并恢复全局消息钩子。检测附加设备。检测驱动程序分发例程。五、自动运行程序管理器：搜索所有已知的自动运行程序所在位置。检测隐藏自动运行程序。检测新增的自动运行程序。允许撤销和重做对自动运行程序的删除操作。六、文件浏览器：检测隐藏的文件和文件夹。显示和删除NTFS数据流。删除使用中的文件。七、注册表编辑器：全功能注册表编辑器。检测隐藏注册表条目。软件安装系统需求： Windows 2000 (Service Pack 4) Windows XP (32-bit) Windows 2003 (32-bit) Windows Vista (32-bit) Windows 2008 (32-bit) Windows 7 (32-bit) 安装执行下载的安装程序。卸载执行开始菜单Malware Defender 中的 'Uninstall'，或者在控制面板 '添加/删除程序' 中双击 'Malware Defender' 软件带有帮助文件，可以使用帮助文件认识软件主要功能与选项快捷键下表列出了 Malware Defender 中的快捷键。快捷键　说明 F1　打开帮助文件 Alt + F4　退出 Malware Defender Alt + Enter　打开属性对话框 Ctrl + A　选中列表中的全部项目 Ctrl + Z　撤销最后一步操作 Ctrl + Y　重新执行先前已撤销的操作 Ctrl + C, Ctrl + Ins　复制被选内容并将其置于剪贴板上 Ctrl + X, Shift + Del　剪切被选内容并将其置于剪贴板上 Ctrl + V, Shift + Ins　插入剪贴板内容 Del　删除被选内容 F2　重命名被选内容 Ctrl + F　打开查找对话框 Alt + D　激活地址栏 Ctrl + H　显示或关闭进程句柄窗口 Ctrl + M　显示或关闭进程模块窗口 F4　激活地址栏并显示地址历史列表 F5　刷新显示 F7　在MDI窗口和当前浮动面板窗口之间切换 Ctrl + F7　切换到下一个浮动面板窗口 Ctrl + Shift + F7　切换到上一个浮动面板窗口 Tab　在各MDI窗口中的切分窗口之间切换 Ctrl + Tab　切换到下一个MDI窗口 Ctrl + Shift + Tab　切换到上一个MDI窗口 Alt + Up Arrow　在文件或注册表窗口中显示上一层内容 Alt + Left Arrow　跳转到访问历史中的前一项 Alt + Right Arrow　跳转到访问历史中的下一项 Ctrl + Alt + Up Arrow　减小规则优先级 Ctrl + Alt + Down Arrow　增加规则优先级 Applications key, Shift + F10　显示上下文菜单规则概述 Malware Defender使用规则来决定当检测到可疑操作时如何处理，您应该理解规则的工作原理，并且仔细管理规则，尤其是名称为“”的默认规则。如果赋予默认规则不恰当的权限，将影响系统的安全，所以一般不要修改默认规则的权限。规则状态* 规则状态有如下几种：已启用- 已启用的永久规则。已禁用 -已禁用的永久规则。临时的- 已启用的临时规则。临时规则将在进程退出时自动删除，如果您对临时规则执行启用或禁用操作，它将成为一个永久规则。规则权限每个规则的基本权限如下：读权限- 用于文件规则。（如果读权限为阻止，修改、创建及删除权限也将强制为阻止。）创建权限- 用于文件规则。（允许创建权限将允许新建不存在的文件，并且在文件关闭前默认允许修改文件。）删除权限- 用于文件规则。修改权限- 用于文件规则或注册表规则。(对于文件规则，包含设置隐藏属性和修改权限操作；对于注册表规则，包含创建，删除和修改属性操作。) 执行权限 -用于钩子模块规则、驱动程序规则或应用程序规则。权限类别权限有以下可选的类别：允许- 允许执行当前操作。阻止- 阻止执行当前操作。阻止并结束进程- 阻止执行当前操作，并且结束执行操作的进程。(系统应用程序不允许被结束进程) 询问 -询问用户。忽略 -继续搜索其他较低优先级的规则。规则优先级当添加一个规则，Malware Defender将赋予其同一类型中的最高优先级，但是您可以使用上下文菜单或者鼠标拖放来修改优先级。对于文件、注册表和网络操作，应用程序规则中的文件/注册表/网络规则优先级高于全局文件/注册表/网络规则。内置规则内置规则显示为特殊颜色(默认为蓝色)，所有内置规则不允许被删除，内置应用程序规则不能被禁用。在规则中使用通配符您可以使用 '' 和 '?' 作为通配符，'' 表示零个或多个字符，'?' 表示任意单个字符。在使用通配符匹配文件目录或注册表项时有一个特例，例如对于文件夹“c:\\xxx”，“c:\\xxx\\”可以成功匹配。在规则中使用相对路径* 您可以在文件规则、子应用程序规则、目标应用程序规则、驱动程序规则、钩子模块规则、动态链接库规则以及允许执行的应用程序中使用相对路径。相对路径必须以".\\"(当前目录)或"..\\"(父目录)开始，可以包含多个"..\\"。在规则中使用环境变量本软件自动处理环境变量。当保存规则文件时，文件路径中如果包含环境变量对应的字符串，此字符串将以环境变量代替。当加载规则文件时，文件路径中的环境变量将自动展开。本软件支持以下环境变量： %TEMP% %APPDATA% %USERPROFILE% %ALLUSERSPROFILE% %ProgramFiles% %SystemRoot% %SystemDrive% 组组用来管理需要设置为相同权限的规则对象。当您创建了一个组时，它并不会显示在规则窗口中，您必须创建一条规则来使用它。组也可以用于应用程序规则中的子应用程序规则、文件规则和注册表规则。应用程序组中的成员可以拥有私有的权限设置，并有着更高的优先级，只有当组成员的权限设置为“忽略”时，才使用组的权限设置。规则匹配方式规则从高优先级到低优先级(从下向上)进行搜索，如果找到一个匹配的规则，就检查其权限，如果权限不为“忽略”，则停止搜索，否则继续搜索其他规则。如果检测到一个创建进程操作，本软件还将查找子进程匹配的应用程序规则，如果匹配规则的执行权限不为“允许”，并且规则优先级高于父进程匹配的规则，则使用子进程的执行权限。常见问题什么是Malware? Malware是英文“malicious software”的简称，意思是恶意软件，是指任何对计算机系统有害的软件。因此, malware包含病毒、蠕虫、木马、广告软件、间谍软件、按键记录软件、rootkit等。什么是HIPS? HIPS是英文“Host Intrusion Prevention System”的缩写，意思是主机入侵防御系统，使用基于规则和行为的监控来防御对系统的非法修改。HIPS可以与传统杀毒软件一起使用，为您的计算机系统提供多一层的保护。为什么下载内核符号文件失败? 主要有两种可能的原因。一种原因是MD由于网络问题无法连接微软的公共符号服务器。另一种原因是符号服务器上不存在对应的内核符号文件，例如微软一般不为测试版的Windows提供符号文件。如果没有内核符号文件，一些ARK功能将不能使用，但是所有的HIPS功能都不受影响。
随便看	樊岗樊高定樊高林樊根深樊耕农樊更喜樊功樊功生樊恭烋樊共新樊官胜樊官营村樊光樊光春樊光辉樊光明樊光普樊光耀樊光远樊桂金樊桂林樊贵樊贵先樊国樊国成