软件功能
1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除5.端口信息查看,目前不支持2000系统
5.端口信息查看,目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
17.WorkerThread枚举
18.Ndis中一些回调信息枚举
19.硬件调试寄存器、调试相关API检测
20.枚举SFilter/Flgmgr的回调
21.系统用户名检测
软件特色
1、进程查看,查看相应的进程ID,父级进程ID
2、驱动模块,可以查看相应的驱动对象、路径
3、内核可以查看相应的内核类型信息
4、内核钩子
5、应用层钩子查看
6、网络信息查看
7、注册表编辑
8、启动信息管理以及路径查看
9、电脑体验
PChunter使用教程
新人入门使用方法
1、如任何判断计算机的状态:
我们要先对计算机进行检查,是不是中毒了。
查验进程中数字签名是都有出现异常
查看有没有名称出现异常的还没有文件厂商信息的驱动程序。
SSDT在杀毒软件的HOOK以外是否还有别的异常信息?
要是朋友们觉得鼠标和键盘都被人控制了(排除远程RTO)那么就需要按照内核钩子-鼠标-键盘-键盘挂钩函数一一进行查验。
IE要是看起来不太对好像中毒的样子的话,那么就检查IE的插件。
看看启动项和服务项有没有看起来(鬼鬼祟祟)值得怀疑的内容。
因为MBR这一类的病毒真的很能藏,所以我们建议加上意向MBR检查。
2、进程列表的内容:
第一列:本列是进程的名字
第二列:这一列是进程的ID
第三列:是进程爸爸的ID,谁创建谁是爸爸噢
第四列:是映像路径,就是进程的路径啦
第五列:是EPROCESS。这里的意思是进程内核对象地址的。资深玩家能够从这一项得到很多信息,但新人玩家忽略掉它就可以啦。
第六列:是应用层访问的状态,代表着这个进程可不可以让其他进程打开进入自己,安全软件就不让。
第七列:是文件的厂商。代表着主文件的发布公司。因为这个伪造难度不是很高,所以偶尔它说不定就是假的。
颜色表示——红色代表可疑内容,黑色是表示微软厂商文件,蓝色代表不是微软厂商文件。粉色是效验没有签名的模卡行;黄色是进程检测出微软厂商文件中不是微软的模块。
注意事项
1、本站下载的压缩文件中有两个版本分别是32位和64位,选择对应的版本使用
2、此软件运用了大量windows内核技术,如果对系统不是特别了解,最好不要使用
3、该软件目前支持个人免费试用,但是请勿用作商业用途
支持的操作系统
32位的2000、XP、2003、Vista、2008、Win7、Win8、Win8.1、Win10操作系统
64位的Win7、Win8、Win8.1、Win10操作系统
常见问题
1、Pchunter加载驱动失败!!
经测试答案是使用最新版本1.5.1版本。
2、软件怎么修复程序打不开的问题
建议你把程序先卸载,用360安全卫士清理系统后重装一下。
3、为什么我打开软件不显示进程啊
需要更新版本,但是最新的WIN10是不支持的,只要驱动加载失败就是不支持当前版本
4、下载最新版本的软件,在win10下面却加载不了驱动了
加载不了驱动可能是bug,确实有人用最新版的软件也加载不了、、、、
感觉这时候需要请出来TDSSkiller和Dr.Web CureIt