火绒

火绒剑可以监控系统中所有进程的文件、注册表、进程以及网络动作；

可以通过拖入程序到监控页面来监控该程序及其子进程的全部动作和行为；

提供对程序行为的抽象并高亮显示，例如：自我复制行为、自我删除行为、进程入侵行为、注册自启动项等；

对监控到的所有程序动作记录详细的动作信息，包括：

动作发起者进程信息；

程序动作详细参数信息；

发起动作时的调用栈信息；

按照进程关系组织的任务组详细信息；

可以通过对进程信息、程序动作和程序动作参数设置过滤规则，快速定位到需要关注的程序动作和行为；

火绒剑以列表或树型展示系统中全部活跃以及非活跃进程信息，包括：

进程ID、会话ID、全路径、命令行、当前路径、等基本信息；

进程线程信息；

进程模块信息；

进程打开的句柄列表；

进程相关的网络连接信息；

进程产生的网络流量数据；

以不同颜色区分活跃和非活跃进程；

可以定位进程对应程序文件及查看文件属性；

对活跃进程可以进行结束、挂起、恢复操作；

可以关闭进程打开的句柄；

可以提取进程、模块的内存映像或文件中的全部字符串；

可以搜索系统中全部打开的句柄和加载的模块；

火绒剑可以扫描系统中的启动项，并可以对扫描到的启动项进行禁用、启动和永久删除；

支持扫描以下类型启动项：

登录类（Logon）

浏览器类（Explorer）

IE浏览器类（Internet Explorer）

系统服务类（Services）

内核驱动类（Drivers）

解码器类（Codecs）

Winsock提供者类（Winsock Providers）

打印提供者类（Print Monitors）

本地安全认证类（LSA Providers）

网络提供者类（Network Providers）

启动执行类（Boot Execute）

映像劫持类（Image Hijacks）

AppInit类（AppInit）

已知动态库类（KnownDLLs）

Winlogon类（Winlogon）

输入法类（IME）

计划任务类（Scheduled Tasks）

火绒剑内核诊断信息包括以下内核信息：

驱动（设备树）信息（Driver Information）

系统服务表（Service Dispatch Table）

内核通知信息（Kernel Notify）

中断描述符表（Interrupt Table）

高亮提示被修改的内核信息；

火绒剑扫描内核态IAT、Inline钩子；

扫描用户态IAT、Inline钩子；

可以对指定进程进行快速扫描；

对扫描到的钩子进行指令分析识别多级跳转类型的钩子；^[5]