火绒盾

火绒安全防御软件系瑞星前CTO刘刚2011年8月离职之后，携若干技术骨干创办"火绒实验室"，致力于网络安全核心技术的研究和开发。它能够帮助安全工程师们迅速、准确地分析出病毒、木马、流氓软件的攻击行为，为各种安全软件的病毒库升级和防御程序的更新提供帮助，能在大幅度提升安全工程师工作效率的同时，有效降低安全产品的误判和误杀行为。

火绒盾功能：
1.实时监控
可以监控系统中所有进程的文件、注册表、进程以及网络动作；
可以通过拖入程序到监控页面来监控该程序及其子进程的全部动作和行为；
提供对程序行为的抽象并高亮显示，例如：自我复制行为、自我删除行为、进程入侵行为、注册自启动项等；
对监控到的所有程序动作记录详细的动作信息，包括：
动作发起者进程信息；
程序动作详细参数信息；
发起动作时的调用栈信息；
按照进程关系组织的任务组详细信息；
可以通过对进程信息、程序动作和程序动作参数设置过滤规则，快速定位到需要关注的程序动作和行为；
2.进程管理
以列表或树型展示系统中全部活跃以及非活跃进程信息，包括：
进程ID、会话ID、全路径、命令行、当前路径、等基本信息；
进程线程信息；
进程模块信息；
进程打开的句柄列表；
进程相关的网络连接信息；
进程产生的网络流量数据；
以不同颜色区分活跃和非活跃进程；
可以定位进程对应程序文件及查看文件属性；
对活跃进程可以进行结束、挂起、恢复操作；
可以关闭进程打开的句柄；
可以提取进程、模块的内存映像或文件中的全部字符串；
可以搜索系统中全部打开的句柄和加载的模块；
3.启动项管理
可以扫描系统中的启动项，并可以对扫描到的启动项进行禁用、启动和永久删除；
支持扫描以下类型启动项：
登陆类（Logon）
浏览器类（Explorer）
IE浏览器类（Internet Explorer）
系统服务类（Services）
内核驱动类（Drivers）
解码器类（Codecs）
Winsock提供者类（Winsock Providers）
打印提供者类（Print Monitors）
本地安全认证类（LSA Providers）
网络提供者类（Network Providers）
启动执行类（Boot Execute）
映像劫持类（Image Hijacks）
AppInit类（AppInit）
已知动态库类（KnownDLLs）
Winlogon类（Winlogon）
输入法类（IME）
计划任务类（Scheduled Tasks）
4.内核诊断信息
内核诊断信息包括以下内核信息：
驱动（设备树）信息（Driver Information）
系统服务表（Service Dispatch Table）
内核通知信息（Kernel Notify）
中断描述符表（Interrupt Table）
高亮提示被修改的内核信息；
5.钩子扫描
扫描内核态IAT、Inline钩子；
扫描用户态IAT、Inline钩子；
可以对指定进程进行快速扫描；
对扫描到的钩子进行指令分析识别多级跳转类型的钩子；

火绒盾特点：
支持动态分析和静态分析；
支持64位Windows系统；
采用“内核纯净化”技术处理内核级Rootkit；
采用单步加多步的主动防御技术；
具有过滤网页广告和软件广告的功能；
软件小巧，对资源的占用很小。