家鸽小助手

简介

这是一款什么样的软件？

这是一款类似 Windows 任务管理器的软件。如果您对本软件病毒没太大兴趣，那您可以把程序看成一款加强实用版的Windows任务管理器，本程序可以很好的替换/恢复Windows自带任务管理器。

这也是一款帮您成为软件/反病毒高手常备的软件。每个命令操作都有相关说明和详细帮助。只要您有信心，成为软件/反病毒高手为时不远。

基本功能

1:应用程序模块

显示当前 活动窗口信息。

2:进程模块

在用户模式下能显示大部分隐藏进程。进程用不同颜色表示，其中红色显示的是非系统的进程或文件，蓝色显示表示是系统程序且进程里面插入了其他DLL模块(例如:Explorer.exe)。隐藏进程也用红色来标识，但在进程名旁边加入“(隐藏)”二字。进程管理模块大部分功能在鼠标右键，包含目前用户模式下最强的“内存清零”终止进程法。其次，双击一个进程可以列出进程的详细信息，包含进程模块信息。值得说明一下的是，查看进程模块信息功能和目前绝大多数工具查找模块方法不同。它是通过 暴力搜索进程内存空间，并过滤后得到的模块信息，故能得到很多隐藏模块信息。

3.性能模块

用图表显示CPU，和内存记录。支持 双核CPU信息和硬件信息显示。

4. 联网模块

用图表显示当前 网络速度，得到当前网络各种信息。

5:基本(信息)模块

包含下面子模块。

5.1 启动模块

可以查看并管理启动程序，并能查看许多隐藏的信息！

5.2 系统修复模块

用来修复被病毒破坏的常见文件关联、系统设置等操作。

5.3服务模块

用于管理Windows常见服务和驱动服务。红色显示的非 系统服务。单击列表标题可以排序以便快速查找新增的 系统服务。对于以svchost.exe启动的服务，文件路径显示的是该服务文件而非svchost.exe的路径。删除服务则是删除服务键值（不提供删除前的保存，也不能恢复。所以，要删除你得去确定是否真要这么做!）

5.4 Auto病毒清理模块

用于清理和免疫目前流行的AUTORUN类型病毒。含4个子窗口：“AutoRun病毒管理”，“程序劫持管理（IEFO）”，“HOST 文件查看”，“WinSock 文件查看”。一般病毒都会在四个位置留下痕迹，特别是U盘型病毒。

“AutoRun病毒管理”，用于查看每个盘。AutoRun.inf文件信息，以及其文件上自动启动的 程序文件信息。

部分功能说明：

1）“AutoRun 简单免疫”：在注册表里设置权限，使在双击进入任意磁盘图标时不执行AutoRun.inf文件。此操作对系统无危害！

2）“AutoRun 加强免疫”：对大部份程序的开机起动项进行免疫。这样大部分病毒也无法开机自动运行，不过这样也会让正常程序也无法开机自动启动。您可以先让正常程序先设置好开机启动，然后再执行该操作。对 电脑操作熟悉的用户可使用此操作，建议和IEFO免疫一起都运行。

“程序劫持管理（IEFO）”,用于查看，编辑和免疫IEFO信息。当你的杀毒/ 安全软件莫名不能启动了，或者启动的却是一个病毒。那么你可能病毒IEFO了。至于什么是IEFO？它一个很强也很暴力的东东，基本上对任意程序有效果，包括 安全软件和病毒。至于IEFO怎么解释以及原理，有兴趣的朋友可以百度一下。这技术的简单且暴力，当这技术被病毒利用了那可不是个好事，故本程序提供IEFO管理。这里顺便提一下，本程序的“进程”模块中的“禁止此程序运行”也是利用IEFO安全强大的一面。

部分功能说明：

1） “常见IEFO修复”：修复常见IEFO劫持，当一个程序被劫持后十有八九是不能正常启动的。本功能修复内置140种常见安全软件的IEFO劫持，并清除劫持的程序。

2）“所有IEFO修复”：修复所有IEFO劫持，但不删除其劫持的程序。注意：可能正常程序也会被修复。

3） “IEFO免疫”：通过对注册表IEFO项设置，防止病毒对正常程序劫持。当然你也可以取消IEFO免疫。

“HOST 文件查看”：如果您打开一个您熟悉的网页，忽然转到其他不正常网页。那么您很可能被HOST文件劫持了。通过这个窗口你可以管理HOST文件，还可免疫HOST文件。

“Winsock 文件查看”：如果您上网设置是正确的，可只能上QQ不能看网页，试试这个WINSOCK管理。内置Winsock修复，用于修复被损坏的TCP/IP协议。

5.5 端口显示模块

一个程序要想和外面程序联系，必然会打开TCP/IP端口。本模块功能就是管理当前网络所有开启端口。

5.6 文件模块

查看当前系统文件列表的模块。大部分操作在 内核中执行，可以有效显示被RootKit类病毒隐藏的文件、文件夹。

文件属性：字母A：代表 “归档”属性、 字母S：代表 “系统”属性、字母H：代表 “隐藏”属性、字母R：代表 “只读”属性、

字母C：代表 “压缩”属性、 字母T：代表 “ 临时文件”属性、

6：高级(信息)模块

6.1: 文件监视模块

可以监视文件的变化，一般用于木马删除和在网页监视流媒体。支持多点监视例如：”c:\|d:\“将同时监视c盘和D盘的文件变化。

6.2 活动文件模块

可以显示系统活动文件。

IE辅助 插件（BHO： Browser Helper Objects），指的是 浏览器的辅助模块（或称辅助对象），这是一些扩充浏览器功能的小插件。这里面鱼龙混杂， 诺顿杀毒、goolge等都可能出现在这里，而这里也是一些 间谍软件常出没的地方。

BHO注册表路径：HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

IE Toolbar：这是IE 工具条位置。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

6.3 SSDT模块

SSDT的全称是System Services Descriptor Table，系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用windows函数及API进行hook，从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

本模块包含查看，管理SSDT。

部分函数说明：

ZwTerminateProcess：如果挂钩本函数，那么大部分用户级别的程序将无法终止挂钩程序。

ZwOpenProcess： 如果挂钩本函数，那么大部分用户级别的程序将无法正常打开挂钩程序，如果无法正常打开挂钩程序，自然无法操作挂钩程序。例如：终止进程操作。

6.4 系统监控 模块（测试中…）

采用 内核HOOK方式，监控如下系统操作：1.文件新建 2. 创建/写入注册表键 3.进程创建。 本模块可以禁止或者手动控制上面操作。

这个模块现在怎么用？例如：

在一台有很多病毒的机器上，一些垃圾病毒经常终止以后又重新随机换个名字启动。这原因是该病毒有进程和 线程在保护其不被终止。遇到这样的病毒怎么办？可以开启“文件新建监控”，选择“默认禁止”或者“询问再操作”，这样病毒不会自动复制自己，这样你可以慢慢来看和处理病毒。同理，你一样可以开启“进程创建监控”，这样病毒不会自我运行。