一、软件简介
网站木马清专家是一款针对网页木马及网站挂马进行查杀与防御的服务器应用软件。软件通过两个步骤可有较提高网站的安全性和稳定性。
首先是查杀木马部份,这一部份可以对服务器上已有的网页木马和被挂马的网站进行全面查杀清理。其次是防御木马部份,通过查杀木马部份的清理后,再通过这一部份的实时监控和自动恢复功能,使网站不再受木马侵扰。
通过先查杀、后保护这两步操作,就可以使你的网站和服务器不再受网页木马的攻击的烦恼。本软件操作简单,界面友好,无论您是安全高手、还是新手菜鸟都可以快速上手,再配合官方技术人员的指导,效果更是立竿见影,入侵挂马问即可轻松搞定。
二、使用说明
【初始化与注册】启动软件后,将会显示软件初始化界面,软件此时主要在进行数据初始化和与官方服务器交换数据等步骤,该画面只在未注册前显示。
机器码:软件根据当前所使用的服务器自动生成该机器码,正式版用户可以通过该机器码到官方获取注册码。
注册码:官方通过用户提示的机器码为用户生成的特殊字符,正式版用户只有通过正确填写该注册码后,就可以正常使用本软件。所以,在通过官方获取注册码时,请确认您所提供的机器码是正确的。注:不同服务器的机器码与注册码不通用。
注 册:正确填写注册码后,点击该按钮即可完成注册。
官方网址:http://www.NTsafe.com
【查杀木马】软件正常注册以后,每次启动时将显示该画面;这一部份将完成对木马及挂马网页的查找与清理工作等,建议在第一次使用本软件时,首先使用这一部份对服务器进行全面查杀清理。
网站路径:需要进行查杀的网站目录路径,请使用全路径(含盘符,如:D:\webs),多个目录请使用半角分号分隔(;)如:D:\webs;E:\webs
文件类型:需要查找的文件类型,不能为空,不能选择所有文件类型;多种类型使用半角分号分隔(;)
备份路径:用于备份查找到的木马或被挂马的网页文件,该目录将在使用 "转移文件到备份目录" 功能或 【查杀结果】 中 "转移" 功能时启用。
新特征码:用户查找木马或被网页挂马的特殊字符串,请认真理解以下概念。
!!什么是特征码:特征码是网页木马内容的一部份或黑客挂马时所使用的挂马内容;
!!特征码的分类:本软件在查杀木马或挂马时将使用特征码匹配的方法,特征码分为:"系统集成特征码"和"用户自定义特征码"。"系统集成特征码"由软件自动升级更新,"用户自定义特征码"保存在特征库中,用户可以自助更新,在 【特征码管理】 中可以对自定义特征码进行管理。
!!普通特征码:这里的 "新特征码" 就是指"用户自定义特征码",内容可以是木马文件内容中的一部份字符或被挂马网页的挂马部份。多个特征码使用半角分号分隔,如果什么都不填写的话,将使用特征库中的"用户自定义特征码"查找匹配。
!!正则特征码:本软件对高级用户支持正则表达式匹配,在 "新特征码" 中,用户可以以 @ 开头,这样就可以使用正则特征码了,正则特征码格式为Vs.Net中的正则表达式,用户指定正则表达式后,本软件会根据用户指定的正则表达式匹配结果。编写方法可以到官方论坛上讨论或查阅相关资料。
处理方式:指当本软件查找到木马或被挂马网页后和处理方法。
·只记录:找到木马或被挂马网页后记录下来,搜索完成后,可以在【查杀结果】中做进一步处理。
·直接删除文件:找到木马或被挂马网页后 直接删除,从而减小危害。
·转移到备份目录: 找到木马或被挂马网页后 将文件移动到 "备份路径" 所指定的目录中。
·直接重命名文件:找到木马或被挂马网页后 直接把文件改名,使文件不能再被访问到,从而减小危害。
·清理特征码:找到林马或被挂马的网页后 直接清除特征码。注意:这里只将用户指定的新特征码和自定义特征库中的特征码 替换为空。
查杀选项
1、全局选项:对快速查杀和全面查杀都有效。
·查杀子目录:查找并清理 网站路径 中指定目录的子目录。
·查杀隐藏文件:是否查杀隐藏属性的文件,选中时查找隐藏文件。
·查杀只读文件:是否查杀只读属性的文件,选中时查找只读文件。
·启用临时忽略文件:查杀时是否跳过临时忽略文件列表中指定的文件,请参考以下说明。
·启用永久忽略文件:查杀时是否跳过永久忽略文件列表中指定的文件,请参考以下说明。
!!什么是忽略文件列表:忽略文件列表由很多文件的路径组成清单式列表。在 【查杀结果】 或 【选项】 中可以指定,内容为你要在查杀时跳过的文件完整路径或一部份。
注意:如果指定的是一个目录路径。如:d:\webs\pics 将跳过该目录下的所有文件和子目录;
如果指定的是一个文件名。如:index. Asp 将跳过所在的 index. asp;
如果指定的是一个具体的文件。如:d:\webs\index.asp 将只跳过这一个文件;
!!忽略文件列表的分类:分为临时忽略文件列表和永久忽略文件列表,临时忽略文件列表将在软件退出后自动清空,永久忽略文件列表不会清空。
·查杀时显示明显:在查杀时是否显示当前只正访问、读取、匹配哪一个文件,选中时显示。注意:选中 没有 不选中 时 软件的执行效率高。
2、全面查杀选项:只对全面查杀有效。
·查找一句话木马:是否查杀一句话木马。这里请用户对常见一句话木马要有所了解,以便处理嵌入式一句话木马。
·进行相似度分析:该选项用于对特征库中没有记录的木马进行分析,用于对新型的木马或不常见的木马进行查找。
·使用自定义特征码:全面查杀时是否使用用户指定的新特征码和自定义特征库中的特征码。
·查找框架挂马:是否查找<ifram…>一类的利用html框架方式的挂马。
·查找Body挂马:是否查找以在Body中添加代码方式的挂马。
·查找CSS 挂马:是否查找以在CSS中添加代码方式的挂马。
·查找JS挂马:是否查找利用Js技术的挂马。
全面查杀:匹配系统集成特征码和自定义特征码以及用户指定的新特征码进行全面的查找清理木马及挂马,时间较长,较为全面。
快速查杀:对自定义特征码以及用户指定的新特征码进行查找清理木马及挂马,可用于对已知挂马字符串或木马特征的情况下快速准确查杀,时间较短,准确率高。
保存为默认:将用户当前的设置保存为默认设置,以便于在每次启动时不用再次设置。
添加新特征码到特征库:将用户在 "新特征码" 中填写的特征码添加到自定义特定库中,重复内容将自动忽略。
【查杀结果】这一部份用于显示 查杀木马执行后的结果,同时也是对查杀日志记录的管理。
打开记录文件:用于指定需要再次进行处理或查看的日志文件全路径,记录文件的默认位置在软件所在位置的 Log 目录下,以FCT开头
浏览:选择日志记录文件
读取:将指定的日志记录文件内容读取到下面的列表中
查看:打开日志记录文件所在的目录
刷新:该按钮只有在正在执行查杀木马时才能使用,作用是显示最新的查杀结果
全:选定列表中的所有记录
反选:选定列表中未选定的记录
暂时忽略:将选定的记录,添加到暂时忽略文件列表。
忽略:将选定的记录,添加到永久忽略文件列表。
删除记录:删除选定的记录
保存记录:保存选定的记录到日志目录,如果没有选定,将保存全部记录,日志将被保存在LOG目录下,并以FCT开头。。
删除文件:删除选定记录中的文件
转移:删除选定记录中的文件到备份目录
还原转移:还原被除转移过的文件到原目录
改名:重命名选定记录中的文件
还原改名:还的被重命名文件
清除特征码:清除选定记录中文件的用户自定义特征码
打开目录:打开当前记录中文件的所在目录
另:双击列表中的记录可以编辑记录中的文件。
【防御木马】这一部份用于对指定目录进行实时监控,并对监控目录进行实时保护,使文件不被破坏。
受保护的网站目录(一行一个):指定需要保护的网站目录,注意:请不要指定不需要保护的目录,这样将会将低软件的执行效率。
对包含的以下目录特殊处理(不含子目录):添加需要进行特列处的目录,如:图片专用目录、静态文件专用目录、JS文件专用目录等。
·自动添加常见目录:自动分析站点中的目录结构,添加常见的特殊目录;
·添加:用于的打开特殊目录添加窗口。
··目录路径:需要进行特殊处理的目录全路径。
··在该目录下,允许的操作:这里是指在该目录可以进处哪些操作,如:可以新建文件,新建的文件类型必须是 文件类型 中指定的类型jpg,gif,png多种类型之间使用半角逗号分隔,所有文件类型使用*.* 表示;注意,没有指定为允许的操作将被拒绝
··添加:点击该按钮可该指定的设置添加到特殊目录列表中。
··修改:修改配置时该按钮将生较,用于保存修改。
·修改:用于打开修改窗口并修改选定的特殊目录;双击列表中的目录路径也可以进修改。
·删除:用于删除列表中选定的特殊目录。
对包含的以下文件特殊处理:添加需要进行特殊处理的文件,如:Access数据文件、标记文件、站点配置文件等。
·自动添加MDB数据库:自动分析站点中的所有Access数据库文件并添加到特殊文件列表中;
·添加:用于的打开特殊文件添加窗口。
··文件路径:需要进行特殊处理的文件全路径。
··选择:选择需要特殊处理的文件。
··对该文件,允许的操作:修改、删除、新建;其中新建是指,如果该文件不存在的时候是否允许新建;
·添加:点击该按钮可将指定的设置添加到特殊文件列表中。
·修改:修改配置时该按钮将生较,用于保存修改。
保护文件类型:需要保护的文件类型,填写文件扩展名,多种类型以半角分号分隔。如:asp;php;aspx;jsp
备份文件路径:该目录用于在备份需要保护的站点目录中的文件,当站点目录中的文件被修改或删除时使用这里的文件恢复还原。
需要保护的操作:指定保护对站点目录中的哪些系统操作进行保护
·新建文件:是否在新建文件时进行保护,选定后 删除已建新文件 功能将会有效。
·修改文件:是否在文件被修改进行保护,选定后 恢复被修改文件 功能将会有效。
·删除文件:是否当文件被删除时进行保护,选定后 恢复被删除文件 功能将会有效。
·重名命文件:是否当文件被改名时进行保护,选定后 恢复被改名文件 功能将会有效。
恢复操作选项:指定需要进行还原或恢复的操作
·删除已建新文件:选定后保护目录内不能新建文件。
·恢复被改名文件:选定后当文件被改名时将自动还原。
·恢复被修改文件:选定后当文件被修改后将自动从备份文件中复制没有被修改的文件覆盖当前文件。
·恢复被删除文件:选定后当文件被删除后将自动从备份文件中复制没有被删除的文件到当前位置。
日志选项:记录的日志类型和是否保存日志
·记录文件操作日志:是否记录文件被修改、删除、新建、改名的操作日志。
·记录文件操作日志:是否记录各种还原操作日志。
·自动保存日志:是否自动保存日志,选定后日志将被保存在LOG目录下,并以Prevent开头。
全局选项:
·启用前更新备份文件:执行保护之前自动更新备份文件。
·保护子目录:是否保护指定网站目录中的子目录。
创建/更新备份目录:首次运行软件为创建备份目录,点击后将备份网站目录中的指定类型文件到备份目录;第二次以后运行软件时作用为更新备份文件;
保存为默认设置:将当前的设置保存为默认设置并存入配置文件,下次运行时就不用再次设置了。
启用文件保护:点击后,开始启用文件保护功能。
停止文件保护:点击后,停止文件保护功能。
【防御结果】这一部份显示防御木马的结果和状态
打开日志文件:用于指定需要打开的日志文件全路径,日志文件的默认位置在软件所在位置的 Log 目录下以Prevent开头
浏览:选择日志文件
读取:将指定的日志文件内容读取到下面的列表中
查看:打开日志文件所在的目录
刷新:该按钮只有在启用防御木马时才能使用,作用为显示最新的防御结果
【特征码管理】这一部份用于管理用户自定义的特征码,
全:选定列表中的所有特征码
反选:选定列表中未选定的特征码
删除特征码:删除选定的特征码
读取/重读特征码:读取或重新读取特征库中的自定义特征码,并显示在列表中
注意:自定义特征码的添加功能 在 【查杀木马】 部份中 "添加新特征码到特征库"
【字符串替换】这一部份是辅助功能,可用于对网站内的文件进行批量的字符串替换,并支持多行字符串多行字符串匹配,
网站路径:需要进行字符串替换的网站目录全路径,不支持多个目录;
文件类型:需要进行替换的文件类型,只填写扩展名,多种类型间使用半角分号分隔;
替换规则:指定字符串的替换规则,意思就是要将什么字符串替换为什么字符串;
·添加:打开替换规则添加窗口,
··字符串:需要被替换的字符串,支持多行,以@开头支持正则表达式匹配。
··替换为:需要把 字符串 国指定的字符串,替换为这里的字符串,允许为空。
··添加:点击该按钮可将替换规则添加到规则列表中。
··修改:在修改规则时该按钮生较,用于保存修改。
·修改:打开替换规则修改窗口,并修改选定的替换规则;
·删除:删除选定的替换规则;
【选项】目前这一部份作用是对查杀木马部份内容进行配置。:
"文件大小限制":用于在查杀木马过程中,跳过尺寸过大的文件,具体大小在这里指定。
永久忽略列表:在查杀木马过程中,需要永久跳过的文件列表。
临时忽略列表:在查杀木马过程中,需要临时跳过的文件列表。
保存修改:保存对以上设置的修改,并存保到配置文件中。
【帮助】软件修改方法简要说明。 (责任编辑:admin) | 