小呆

1、请问什么是ROOTKIT？

   Rootkit是一种特殊的应用程序，用以获得对计算机的绝对控制，Rootkit和操作系统紧密结合，允许电脑黑客修改系统环境变量和系统内核函数调用顺序，从而在系统程序中隐藏恶意的攻击代码，隐藏恶意系统进程、木马端口、后门文件或其它更多的程序。利用Rootkit技术改造的后门和木马程序，用户使用普通的任务管理器和资源管理器将查看不到任何木马进程和文件，仿佛他们不存在一样，而攻击者可以悄悄的做到任何他们想要在你的计算机上所做的控制操作。Rootkit最初起源于UNIX，今天Rootkit在Windows下正变得越来越流行，给用户带来极大的危害。

   目前国内流行的使用ROOTKIT技术的后门主要有：NTROOTKIT、新版本灰鸽子、PcShare等等，超级巡警是国内首个提供自动化的ROOTKIT检测和清除的工具，在第一次启动的时候会强制检测系统中的使用ROOTKIT技术的木马，您也可以随时通过鼠标右键菜单进行ROOTKIT检测。


2、SSDT是什么，这个模块有什么作用？

　　SSDT是系统服务描述表，在该模块中可以查看和修复系统内核的服务描述表中的相关API，一般来说系统的服务描述表不会被第三方修改，但随着共享软件的增多，许多软件开始挂接修改系统的服务描述表中的函数为自己的函数，用来达到自己的一些特殊目的，这一技术也广泛的被木马、流氓软件利用，主要目的是用来隐藏和保护自身，本模块使的您可以恢复被修改的服务描述表为系统的默认函数，从来取消木马和流氓软件的修改。在列表中你看到红色字样的行，即是被Hook修改了的系统函数，在恢复成功后，该行将以绿色显示。

　　主要有三个功能：

　　①、恢复选择的Hook：恢复您当前行选择的被Hook的函数。
　　②、恢复所有的Hook：恢复全部列表中的函数地址为系统默认函数地址。
　　③、仅显示被Hook的函数：仅仅显示被Hook了的函数，这样便于查看。

    以划词搜索为例来说，划词搜索使用驱动进行注册表Hook和文件Hook，它的两个驱动文件：hcalway.sys和abhcop.sys.sys交叉保护，划词搜索自身的卸载功能不能删除hcalway.sys和abhcop.sys.sys这两个文件，使用Icesword也不能直接删除这两个文件。对付类似的流氓软件使用的底层驱动，可以在SSDT中找到驱动文件，从红色的“当前服务函数所在模块”寻找它们，然后使用“恢复选择的Hook”功能恢复底层函数，恢复后，即可以删除划词搜索的相关注册表服务，然后在重启动，就可以完全删除驱动和其它的文件了。

    对一些使用Rootkit技术的灰鸽子、PcShare木马，你在恢复了SSDT表后，会在进程管理和服务管理中发现一些多出来的项目。

3、端口关联报出我的机子上有隐藏端口，请问我该怎么办？

   端口关联报出隐藏端口后，请在扫描检测中，使用“开始检测Rootkit”功能来进行检查，同时结合进程管理中查找是否有红色的隐藏进程和服务管理中查找是否有隐藏的服务项，利用SSDT来定位。如果这些都没有检测出来，那就是该端口是在检测时使用的，即系统临时开放的端口，可以忽略不管。

4、超级巡警提供我的WinSock SPI有问题，这是怎么回事？

   超级巡警启动后，会自动检查用户系统的WinSock SPI链是否正常，如果发现问题则会提示用户进行修复。此时如果你的系统网络可以正常使用，我们并不建议你进行修复，许多第三方防火墙和SOCK代理转发会作出一些不正确的修改。如果你正好网络访问有一些问题，那极有可能是一些木马/流氓软件破坏了WinSock SPI，我们建议你在“启动管理”→WinSock SPI选项卡中，首先进行“备份SPI链”操作，备份完整后，使用“自动修复SPI链”功能尝试修复，如果修复后依然没有解决问题，那么我们建议使用“恢复系统默认SPI链”功能来强制恢复。一般来说这个时候可以完全修复SPI链存在的问题，当然如果有误操作，您可以随时使用“导入SPI链备份”的功能恢复备份。
   
5、为什么提示我敏感区文件操作？

   木马后门的一个特性就是将文件复制到一些敏感的文件夹中，我们经过长期的分析经验总结出来的综合启发预警，会在木马偷偷进行文件复制的时候，及时提醒您，这样你会对自己系统中细微变化都了如指掌，配合进程管理和启动管理等工具，你可以手动来查杀这些未知的新木马了。

   由于一些软件安装的时候也会进行敏感的文件操作，所以也会提示你，这样你可以很容易的发现有些软件捆绑了别的恶意代码，比如捆绑了流氓软件，本功最适合中高级用户使用。

6、扫描提示发现的木马，但没有清除掉，我该怎么办？

   超级巡警对无法即时清除的木马，会在系统重新启动后进行清除，所以如果你在系统重启动后也无法清除发现的病毒。请在超级巡警的托盘图标上点击鼠标右键，选择上报样本文件，将该木马文件上报给我们，我们会尽快分析该木马特性，并提供解决方案。

   超级巡警提供了对国内的恶意流氓软件检测功能，所以如果你发现超级巡警报的病毒描述中有广告件(ADWare)字样，众所周知，流氓软件使用了很多恶意手段赖在用户系统上，极难清除。针对这种问题，我们会在未来版本中考虑提供专门的流氓软件清除模块，敬请期待。

7、超级巡警支持压缩包的扫描么？

   目前，超级巡警已经全面支持RAR、ZIP、CHM、CAB、等包裹的扫描检测。

8、我发现了误报，我该怎么办？

   一般情况下，我们建议你在超级巡警的托盘图标上点击鼠标右键，选择上报样本文件，将怀疑误报的文件上报给我们，我们会尽快分析证实。同时我们希望你将误报的文件添加到信任列表，这样以后就不会对误报的文件进行扫描检测了。在“扫描检测”→ “设置”→“编辑信任列表”中你可以添加信任的文件和目录。

9、我很喜欢敏感预警的功能，但我不想让他占用我的CPU，我该怎么办呢？

   任何软件只要运行都会耗费CPU运行时间，超级巡警在设计的时候已经尽量考虑CPU占用率问题，目前对CPU的占用主要体现在针对病毒的实时监控上来，您可以禁用实时监控，这样只占用“极低的”CPU时间了，同时其它所有功能都会正常工作，包括敏感预警。


10、我是否可以跟其它杀毒软件安装在一起？

   完全可以!超级巡警设计初衷就考虑了兼容性，我们的目的是与目前市面上的防杀病毒等安全产品构成一套纵深防护体系。它能弥补防杀病毒等产品的缺陷，阻止未知威胁，实现我们终极防护的梦想：)


11、为什么我重新开机后它不自动启动，这是一个BUG么？

   不是，超级巡警的初衷是纯绿色软件，我们不希望在用户不知情的情况下修改用户的系统。如果你想让它开机自动运行，可以在“设置”→“启动方式”中选择“自动随系统启动”。

12、什么时候提示注册表被修改我无需惊慌？

   ①、当实时监控发现病毒后，你点清除按钮，然后弹出来的提示你无需关注。
   ②、当你在设置中，设置本软件为开机自动启动时，弹出来的提示无需关注。
   ③、软件在扫描时，发现了病毒，并且正在清除的时候，弹出来的时候无需关注。
      
13、为什么显示未注册了？

    超级巡警软件更新很快，为了使得老用户能用上最新的发布版本，我们对公开下载版进行了时间限制，到期后将显示未注册，同时不能升级病毒库。这时候您可以到我们网站下载最新的版本进行继续使用。

   
14、除了购买外，我还有其它获取用自己名字注册的序列号的途径么？

   有，你可以通过上报病毒样本来获得注册码奖励，一般来说，我们会确认最新有一定危害级别的样本或者到达一定数量后，赠送给您序列号或其它奖励。并且您撰文发表在杂志、刊物等媒体上，也同样有机会获得我们赠送的注册码。此外，如果你发现软件的一些BUG及时反馈，并有一些我们认可的功能建议，我们也会赠送注册码奖励。

15、发现并清除了我想用的程序，我该怎么办？

   超级巡警默认对所有清除的程序会自动放到自身目录下的隔离区进行备份，你可以随时通过查看隔离区，找到你需要的问题，点“恢复”恢复该文件，这个时候超级巡警可能还会对该文件进行报警。你可以通过“扫描检测”中的“设置”→“其它设置”→“编辑信任列表”，将该文件加入到信任列表中，这样以后超级巡警就不会对该文件进行报警了。

16、什么NTFS数据流，有什么危害？
    NTFS分区的数据流是指在NTFS文件系统中，支持将一个文件特殊的附加到另外一个文件后面，如果不查找流，那么你将无法知道这个文件的存在。NTFS流存在与默认使用NTFS磁盘格式的Windows NT/2000/XP/2003中，目前国内外，只有极少的杀毒软件支持对NTFS的数据流扫描。而在国外，早在2000年,名为29A的病毒组织就写出来一个概念性的流病毒。数据恢复专家涂彦晖在XCON2006会议上指出，国内目前尚无支持流病毒检测的信息安全产品。超级巡警1.4.9版本开始，正式支持对流病毒的检测和清除。

17、为什么启用鼠标右键支持后，发现点击右键有延迟？

    因为我们的鼠标右键扫描不需要超级巡警自身驻留系统中，这比传统杀毒软件要方便得多，鼠标右键菜单自身即是一个方便的查杀引擎，所以在第一次点击的时候会进行一些初始化操作，之后就正常了。


18、超级巡警的为什么只扫描不杀毒？

    超级巡警的默认设置是查出病毒木马后报告显示，但不自动清除，扫描完成后会提示用户来查杀，当然您也可以在设置中进行更改。
   
19、超级巡警扫描时为什么突然崩溃退出？

    由于我们版本更新很快，许多想法和功能不断增加到软件中，这使得我们的软件测试不能面面俱到，所以出错，极有可能正在扫描的文件格式特殊，我们希望您能把崩溃现场一些信息反馈给我们，方便我们重现错误和修正。

20、电脑里面只装超级巡警可以么？

    对于有经验的用户，我们认为只安装了巡警足可以防止木马、蠕虫等病毒。但对于更多的用户，我们还是建议用户配合其它杀毒软件来使用，构筑一道坚固的系统防线。

21、超级巡警和专杀工具刚启动就被关掉了怎么办？

    由于一些病毒作者发现超级巡警可以监测和查杀他们的木马后，针对超级巡警进行恶意攻击，当发现超级巡警的进程和窗口就会关闭，您可以使用其它进程管理工具关闭掉可疑的进程，然后在开启超级巡警来全面查杀。我们会在未来的巡警版本中，加入防止自身被关闭的功能。
   
22、超级巡警可以查杀非木马类病毒么？

    超级巡警可以查杀木马、后门、蠕虫、广告件、黑客工具、色情拨号器等10万种恶意代码，同时针对大范围流行的文件型病毒，也提供查杀功能，包括为用户提供专杀工具。

23、超级巡警新版本安装可以覆盖旧版本么？

    一般来说，完全可以选择覆盖，但我们考虑类似鼠标右键菜单这种模块一般被系统加载，会无法覆盖，所以建议用户卸载删除旧版本，全新安装新版本来使用。

24、怎么加入DSWLAB啊？

     DSW实验室有招聘相关事宜，可在我们网站www.dswlab.com上查看相关文档。如果你有志于安全、反病毒事业，我们欢迎你的加入。
     
25、超级巡警病毒库多久更新一次啊？

    由于我们每天上报样本数量很多，我们提供每周10次以上的升级，必要时每天会提供3-5次升级，超级巡警自身会三个小时检查一次是否有升级更新。
   
26、超级巡警无法升级怎么办？
   
    对于无法升级的用户，我们网站会定期提供离线升级包，只需要解压到指定的目录覆盖即可，充分方便广大用户。
   
27、超级巡警商业版有介绍么？

    超级巡警企业版，完善的企业安全解决方案。具体查看我们网站相关页面。