PCHunter初学习-pchunter为什么右键不能用

PCHunter初学习一、PCHunter简介PCHunter是一款功能强大的Windows系统信息查看软件，同时也是一款强大的手工杀毒软件，用它不但可以查看各类系统信息，也可以揪出电脑中的潜伏的病毒木马。二、PCHunter功能进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能内核驱动模块查看，支持内核驱动模块的内存拷贝SSDT、ShadowSSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检_pchunter

一、PCHunter简介

PCHunter是一款功能强大的Windows系统信息查看软件，同时也是一款强大的手工杀毒软件，用它不但可以查看各类系统信息，也可以揪出电脑中的潜伏的病毒木马。

二、PCHunter功能

进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能内核驱动模块查看，支持内核驱动模块的内存拷贝SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hookCreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看，并支持对这些Notify Routine的删除端口信息查看，目前不支持2000系统查看消息钩子内核模块的iat、eat、inline hook、patches检测和恢复磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除注册表编辑进程iat、eat、inline hook、patches检测和恢复文件系统查看，支持基本的文件操作查看（编辑）IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IMEObjectType Hook检测和恢复DPC定时器检测和删除MBR Rootkit检测和修复内核对象劫持检测WorkerThread枚举Ndis中一些回调信息枚举硬件调试寄存器、调试相关API检测枚举SFilter/Flgmgr的回调系统用户名检测

三、使用场景

进程查看推荐使用procexp比较友好。PCHunter对于其他系统信息的查看功能，非常强大。
（1）查看一些隐藏进程，能结束一些procexp无法结束的进程。能暂停和恢复进程执行。
（2）查看进程的窗口、模块、内存。
（3）查看进程的线程，结束、暂停线程。
（4）查看系统内的驱动，隐藏驱动。分类查看（比如查看某一厂商的所有过滤驱动）。
（5）查看系统的钩子、手动卸载钩子。包括内核钩子、应用层钩子。
（6）查看文件（查看隐藏文件）、查看文件锁定情况、强制删除文件。

四、PCHunter分析应用层钩子

什么是应用层钩子
（1）应用程序必须依附一定的驱动才能运行，那些用于帮助应用程序通过系统验证，并正常运行的钩子就被称作应用层钩子。
（2）应用程序启动时，需要通过应用层钩子将消息发送给系统，通过系统验证后，消息再通过钩子发送给应用程序，如果这些消息被拦截，将会出现很严重的后果。
如何分析应用层钩子
（1）分析应用层钩子主要注意消息钩子，尤其是全局消息钩子，一般情况下，就是通过病毒截取全局钩子消息，来窃取自己想要的信息。比如键盘钩子，就是通过截取应用层键盘信息，将键盘的输入信息，截取后保存到txt文件中。
（2）在使用PC Hunter检测应用层钩子的时候，遇到红色显示情况，一定要引起大家足够的注意。但是切忌马上卸载，我们首先要查看进程路径。然后定位到文件管理器，校验数字签名。通过微软数字签名的一般不会有问题。

参考链接：
1、https://blog.csdn.net/dpsying/article/details/51894071
2、https://www.beihaiting.com/a/WKN/WAQ/20140629/4815.html