使用方法
1、以管理员身份运行“HRSword.bat”
2、运行“HRSword.exe”即可，以后每次都点这个运行火绒剑

支持Windows10、Windows7，不支持WindowsXP




作者：书华
链接：https://www.zhihu.com/question/322824167/answer/1267989250
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。
 

火绒剑是一款可以单独分析某个进程，也可以监控所有进程的软件。因为经过微软官方安全认证，所以与 Windows Defender 不能共存，在安装后，Windows会自行关闭WD。

为了说明火绒剑的使用，下面介绍下火绒剑如何进行进程分析

先在进程里面找到文件

 

将其拖入火绒剑的 系统 一栏，点击 开启监控

 

 

 

右上角能开启自动滚动

 

 

 

 

事件一般都非常多，所以需要用到 过滤

 

 

进程过滤就是根据 任务组ID 来进行过滤

根据 动作 来过滤事件， 监控计数显示了每类行为的事件数量

 

 

如果是检测中了木马、病毒的程序，想看看隐私文件上传到那个服务器，就选后两个

 

 

路径过滤有两种方法，写端口和不写端口

 

 

 

 

 

这里的路径指的是 远程通信的服务器路径

或者 进程进行读写的一些文件

 

 

或者是 注册表路径

在 路径的值 点击 右键可以直接跳转到注册表路径。（不要在动作上点右键）

 

对于进程ID、任务组ID、动作、路径来说，直接右键能快速筛选

 

 

 

接下来具体分析事件

 

 

 

 

在任务组 能查看同一个任务组的其他进程，包括进程ID和名称、路径

 

 

该任务组所做的操作，包括

注册表修改、网络的连接和数据

 

 

 

 

• 开了几分钟，发现大部分事件 都是 进程对注册表的操作