全网范围内查杀木马、病毒、流氓软件、间谍软件和未知软件

    清扬内网管理软件中，提供了进程模块提取、进程模块知识库建立和进程模块分析等功能，有助于在全网范围内及时发现各种木马、病毒、流氓软件、间谍软件或未知软件。下面将针对介绍进程管理的功能使用简介。（有关清扬内网管理软件试用版本的下载、安装和客户端分发等信息可参考：清扬内网管理产品试用版本的安装和部署简单步骤。此处不再详解。）
1．进程模块的提取
　1.1设置允许策略
　　在软件界面，打开[管理]/[计算机管理]/[计算机列表]（下简称：计算机列表），选择客户端，右键“配置单机管理策略”，如下图红框（图1-1：设置允许上传进程模块的单机管理策略配置图），在“进程模块审计”的下拉框中选择：允许使用。

图1-1：设置允许上传进程模块的单机管理策略配置图

　1.2观察进程模块上传过程
　　设置策略后，打开[查看]/[系统状态窗]（下简称：Monitor），约90秒后，就可以看到如下图（图1-2：客户端正在向服务器端提交进程模块信息的通信状态图）的通信状态信息。

图1-2：客户端正在向服务器端提交进程模块信息的通信状态图

　1.3查看单机进程模块列表
　　在计算机列表中，选择该客户端，右键“远程桌面管理/进程调用模块列表”，就可以打开进程模块列表。如图（图1-3：客户端提交的进程调用模块列表）。

图1-3：客户端提交的进程调用模块列表

　　以上为客户端的进程模块信息的自动提交收集过程。

2. 进程知识库建立
　　由上可知，清扬内网管理平台能够自动收集客户端的进程模块信息。现在需要建立进程模块知识库。这里提供两种方法：一是对已有进程模块信息逐条编辑，一是批量导入。下面一一进行说明。
　2.1对已有进程模块信息逐条编辑
　　在上面提到的进程模块列表中，如下图（图2-1：选中已有进程模块进行编辑的图示），通过右键对进程模块进行编辑。

图2-1：选中已有进程模块进行编辑的图示

　　如上图，选中“编辑进程\模块知识库”后，出现下图。

图2-2：编辑已有进程模块形成进程知识库的图示

　　确定后，就通过编辑完成了一条进程知识库的添加工作。
　2.2批量导入进程知识库
　　首先，打开[配置]/[进程模块知识库]。以excel格式导出进程知识库，添加信息后存储为unicode格式的excel表格的文本，然后导入。
　　添加进程信息时请注意格式，当添加系统安装目录（windows）下进程模块时,需要在模块名称前使用\systemroot来替代系统安装目录c:\windows。举例：对c:\windows\system32\netapi32.dll，添加名称应为：\systemroot\system32\netapi32.dll）。
　　按照下图（图2-3）所示，导入信息，

图2-3：选择导入/导出命名批量导入进程知识库的图示

3. 进程模块分析-木马、病毒、间谍软件、流氓程序或未知软件的追踪发现
　　首先，所有进程及其模块信息都提交在管理平台，管理平台将已获取的进程模块信息与进程知识库自动建立对应。对于事先知识库中已认定的木马或流氓软件，进程列表中能够立即现身；对于尚未进入知识库中的未知木马、病毒、间谍软件、流氓软件或其它软件，因其没有对应关系而被孤立出来，容易被发现和追踪定位。
　　不仅单台计算器的木马或流氓软件能够通过知识库方式逐步显现，而且在规模化的网络中，以上提供了一种新型的快速而有效地查找木马、流氓软件、病毒、间谍软件和未知软件等的方法。

4. 其它-进程模块查询、排序和进程知识库备份
　　在清扬内网管理软件界面中，打开[管理]/[查询]，能够看到如下图的进程查询（图4-1：进程模块查询图）。

图4-1：进程模块查询图

　　在进程列表中可以任意点击列的首行，可以进行数据的排序。
　　同样，在图2-3中可以点击导出命令，选择导出excel格式，能够实现对进程知识库的备份。

北京清扬创新网络科技有限公司 制
2006年5月8日