pchunter

PChunter64位最新版，為什么加載驅動失敗？

這些回答的,甚至連PCHunter是什么都不知道~~只要不是官網的,在win10x64系統下,我都試過了,和你情況一樣,最后我去官網下載的,貌似身份證還是手機號驗證一下,就給你半年的使用期限!~就不會出現什么白板,驅動加載失敗了.什么60垃圾,我從來不用,我用PCHunter就是使用還原精靈的,重啟還原了,什么毒都不怕~~

什么是pchunter32.exe嗎

PC Hunter是一款功能強大的Windows系統信息查看軟件，同時也是一款強大的手工殺毒軟件，用它不但可以查看各類系統信息，也可以揪出電腦中的潛伏的病毒木馬。

支持的系統：
32位的2000、XP、2003、Vista、2008、Win7、Win8操作系統
64位的Win7、Win8操作系統

PC Hunter本軟件目前實現了如下功能：
1.進程、線程、進程模塊、進程窗口、進程內存信息查看，殺進程、殺線程、卸載模塊等功能
2.內核驅動模塊查看，支持內核驅動模塊的內存拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能檢測和恢復ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多種Notify Routine信息查看，并支持對這些Notify Routine的刪除
5.端口信息查看，目前不支持2000系統
6.查看消息鉤子
7.內核模塊的iat、eat、inline hook、patches檢測和恢復
8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測，并支持刪除
9.注冊表編輯
10.進程iat、eat、inline hook、patches檢測和恢復
11.文件系統查看，支持基本的文件操作
12.查看（編輯）IE插件、SPI、啟動項、服務、Hosts文件、映像劫持、文件關聯、系統防火墻規則、IME
13.ObjectType Hook檢測和恢復
14.DPC定時器檢測和刪除
15.MBR Rootkit檢測和修復
16.內核對象劫持檢測
17.WorkerThread枚舉
18.Ndis中一些回調信息枚舉
19.硬件調試寄存器、調試相關API檢測

黎明殺機PCHunter64加載驅動失敗怎么辦？

當我們想要重新去更新加載驅動,難免會遇到驅動加載失敗的情況,此時該如何處理?今天小編就來教大家在驅動出現加載失敗時如何解決的方法。
故障原因一、驅動加載失敗可能原因是驅動程序本身不完全,其次就是在下載更新驅動的時候沒有下載完全,一些被殺毒軟件或者防火墻給攔截掉。
這種情況解決方法很簡單,在下載安裝驅動程序時建議將一些殺毒軟件及系統自帶的防火墻暫時關閉一會兒。
故障原因二、驅動程序被破壞所導致的。
還有就是可能是你的驅動版本不對,或者驅動文件損壞.沒安裝好,直接重新安裝一次驅動程序試試。
解決此問題的方法是先找到你的驅動文件文件或文件夾,將其刪除掉。刪除完重新啟動電腦重新下載驅動即可。
故障原因三、某些游戲軟件導致
有的游戲軟件也會導致出現驅動安裝加載失敗的現象,所以建議安裝時不要開啟任何游戲,若還是不行,可以把游戲添加到信任軟件,還不行的話就只能把游戲卸載了。
如果上述方法都不行的話,只能重裝系統了,重裝系統后關于驅動出現加載失敗的問題就能很好解決了。

如何用pchunter 進行手工查殺木馬

你好，這個工具是驅動級別的一款工具，可以枚舉出系統里面的所有進程包括隱藏進程，不過不建議新手使用，如果覺得系統不安全可以使用衛視查殺下。如果想用這個工具打開之后首先顯示的就是進程，仔細查看有沒有可疑進程，不知道這個進程的百度下，當然有的木馬進程名字和系統進程名字一樣或類似。你可以結束進程。然后選擇“網絡”查看下本地地址和遠程地址看看有沒有可疑的和進程路徑都看下。像驅動模塊，內核，鉤子類的沒有一定基礎看起來比較費勁，一般都是分析某個軟件看他調用了什么東西破解一類的需要，不詳可追問。

請問內核級木馬該怎么處理？用PChunter可以嗎？該怎么操作？

按直接操作就是鼠標右鍵然后就看見了你去作者主頁里面有詳細教材IceSwordIceSword是一斬斷黑手的利刃(所以取這土名，有點搞e，呵呵)。它適用于Windows2000/XP/2003操作系統，用于查探系統中的幕后黑手(木馬后門)并作出處理，當然使用它需要用戶有一些操作系統的知識作者blog/ur17/pjfIceSword是一斬斷黑手的利刃(所以取這土名，有點搞e，呵呵)。它適用于Windows2000/XP/2003操作系統，用于查探系統中的幕后黑手(木馬后門)并作出處理，當然使用它需要用戶有一些操作系統的知識。在對軟件做講解之前，首先說明第一注意事項：此程序運行時不可激活內核調試器(如softice)，否則系統即刻崩潰。另外使用前請保存好您的數據，以防萬一未知的Bug帶來損失。IceSword內部功能是十分強大的。可能您也用過很多類似功能的軟件，比如一些進程工具、端口工具，但是現在的系統級后門功能越來越強，一般都可輕而易舉地隱藏進程、端口、注冊表、文件信息，一般的工具根本無法發現這些“幕后黑手”。IceSword使用大量新穎的內核技術，使得這些后門躲無所躲。IceSwordFAQ進程、端口、服務篇問：現在進程端口工具很多，什么要使用IceSword？答：1、絕大多數所謂的進程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系統調用（前二者最終也用到此調用）編寫，隨便一個ApiHook就可輕輕松松干掉它們，更不用說一些內核級后門了；極少數工具利用內核線程調度結構來查詢進程，這種方案需要硬編碼，不僅不同版本系統不同，打個補丁也可能需要升級程序，并且現在有人也提出過防止此種查找的方法。而IceSword的進程查找核心態方案是目前獨一無二，并且充分考慮內核后門可能的隱藏手段，目前可以查出所有隱藏進程。2、絕大多數工具查找進程路徑名也是通過Toolhlp32、psapi，前者會調用RtlDebug***函數向目標注入遠線程，后者會用調試api讀取目標進程內，本質上都是對PEB的枚舉，前面我的blog提到過輕易修改PEB就讓這些工具找不到北了。而IceSword的核心態方案原原本本地將全路徑展示，就算運行時剪切到其他路徑也會隨之顯示。3、進程dll模塊與2的情況也是一樣，利用PEB的其他工具會被輕易欺騙，而IceSword不會弄錯。4、IceSword的進程殺除強大且方便（當然也會有危險）。可輕易將選中的多個任意進程一并殺除。當然，說任意不確切，除去三個：idle進程、System進程、csrss進程，原因就不詳述了。其余進程可輕易殺死，當然有些進程（如winlogon）殺掉后系統就崩潰了。5、對于端口工具，網上的確有很多，不過網上隱藏端口的方法也很多，那些方法對IceSword可是完全行不通的。其實本想帶個防火墻動態查找，不過不想弄得太臃腫。問：windows自帶的服務工具強大且方便，IceSowrd有什么更好的特點呢？答：因為比較懶，界面使用上的確沒它來的好，不過IceSword的服務功能主要是查看木馬服務的，使用還是很方便的。舉個例子，順便談一類木馬的查找：有一種利用svchost的木馬，怎么利用的呢？svchost是一些共享進程服務的宿主，有些木馬就以dll存在，依*svchost運作，如何找出它們呢？首先看進程一欄，發現svchost過多，特別注意一下pid較大的，記住它們的pid，到服務一欄，就可找到pid對應的服務項，配合注冊表查看它的dll文件路徑（由服務項的第一欄所列名稱到注冊表的rvices子鍵下找對應名稱的子鍵），根據它是不是慣常的服務項，很容易發現異常。剩下的工作就是停止任務或結束進程、刪除文件、恢復注冊表之類的了，當然過程中需要你對服務有一般的知識。問：那么什么樣的木馬后門才會隱藏進程注冊表文件的？用IceSword又如何查找呢？答：比如近來很流行且開源（容易出變種）的hxdef就是這么一個后門。雖然它帶有一個驅動，不過還只能算一個系統級后門，還稱不上內核級。不過就這樣的一個后門，你用一些工具，***專家、***大師、***克星看看，能不能看到它的進程、注冊項、服務以及目錄文件，呵呵。用IceSword就很方便了，你直接就可在進程欄看到紅色顯示的hxdef100進程，同時也可以在服務欄中看到紅色顯示的服務項，順便一說，在注冊表和文件欄里你都可發現它們，若木馬正在反向連接，你在端口欄也可看到，另外，內核模塊中也可以看到它的驅動。殺除它么，首先由進程欄得后門程序全路徑，結束進程，將后門目錄刪除，刪除注冊表中的服務對應項這里只是選一個簡單例子，請你自行學習如何有效利用IceSword吧。問：“內核模塊”是什么？答：加載到系統內和空間的PE模塊，主要是驅動程序*.sys，一般核心態后們作為核心驅動存在，比如說某種rootkit加載_root_.sys，前面提到的hxdef也加載了hxdefdrv.sys，你可以在此欄中看到。問：“SPI”與“BHO”又是什么？答：SPI欄列舉出系統中的網絡服務提供者，因為它有可能被用來做無進程木馬，注意“DLL路徑”，正常系統只有兩個不同DLL（當然協議比較多）。BHO是IE的插件，全名BrowrHelpObjects，木馬以這種形式存在的話，用戶打開網頁即會激活木馬。問：“SSDT”有何用？答：內核級后門有可能修改這個服務表，以截獲你系統的服務函數調用，特別是一些老的rootkit，像上面提到的ntrootkit通過這種hook實現注冊表、文件的隱藏。被修改的值以紅色顯示，當然有些安全程序也會修改，比如regmon，所以不要見到紅色就慌張。問：“消息鉤子”與木馬有什么關系？答：若在dll中使用SetWindowsHookEx設置一全局鉤子，系統會將其加載入使用ur32的進程中，因而它也可被利用為無進程木馬的進程注入手段。問：最后兩個監視項有什么用處？答：“監視進線程創建”將IceSword運行期間的進線程創建調用記錄在循環緩沖里，“監視進程終止”記錄一個進程被其它進程Terminate的情況。舉例說明作用：一個木馬或病毒進程運行起來時查看有沒有殺毒程序如norton的進程，有則殺之，若IceSword正在運行，這個操作就被記錄下來，你可以查到是哪個進程做的事，因而可以發現木馬或病毒進程并結束之。再如：一個木馬或病毒采用多線程保護技術，你發現一個異常進程后結束了，一會兒它又起來了，你可用IceSword發現是什么線程又創建了這個進程，把它們一并殺除。中途可能會用到“設置”菜單項：在設置對話框中選中“禁止進線程創建”，此時系統不能創建進程或者線程，你安穩的殺除可疑進線程后，再取消禁止就可以了。問：IceSword的注冊表項有什么特點？相對來說，RegEdit有什么不足嗎？答：說起Regedit的不足就太多了，比如它的名稱長度限制，建一個名長300字節的子項看看（編程或用其他工具，比如regedt32），此項和位于它后面的子鍵在regedit中顯示不出來；再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。當然IceSword中添加注冊表編輯并不是為了解決上面的問題，因為已經有了很多很好的工具可以代替Regedit。IceSword中的“注冊表”項是為了查找被木馬后門隱藏的注冊項而寫的，它不受目前任何注冊表隱藏手法的蒙蔽，真正可*的讓你看到注冊表實際內容。問：那么文件項又有什么特點呢？答：同樣，具備反隱藏、反保護的功能。當然就有一些副作用，文件保護工具（移走文件和文件加密類除外）在它面前就無效，如果你的機器與人共用，那么不希望別人看到的文件就采用加密處理吧，以前的文件保護（防讀或隱藏）是沒有用的。還有對安全的副作用是本來system32\config\SAM等文件是不能拷貝也不能打開的，但IceSword是可以直接拷貝的。不過只有管理員能運行IceSword。最后說一個小技巧：用復制來改寫文件。對一個被非共享打開的文件、或一個正運行的程序文件（比如木馬），你想改掉它的內容（比如想向木馬程序文件寫入垃圾數據使它重啟后無法運行），那么請選中一個文件（內含你想修改的內容），選“復制”菜單，將目標文件欄中添上你欲修改掉的文件（木馬）路徑名，確定后前者的內容就寫入后者（木馬）從頭開始的位置。最后提醒一句：每次開機IceSword只第一次運行確認管理員權限，所以管理員運行程序后，如果要交付機器給低權限用戶使用，應該先重啟機器，否則可能為低權限用戶利用。問：GDT/IDT的轉儲文件里有什么內容？答：GDT.log內保存有系統全局描述符表的內容，IDT.log則包含中斷描述符表的內容。如果有后門程序修改它，建立了調用門或中斷門，很容易被發現。問：轉儲列表是什么意思？答：即將顯示在當前列表視中的部分內容存入指定文件，比如轉儲系統內所有進程，放入網上請人幫忙診斷。不過意義不大，IceSword編寫前已假定使用者有一定安全知識，可能不需要這類功能。