智创网站文件监控助手 使用说明（非常重要）

    对服务器中指定的 WEB 目录文件进行实时监控，扫描是否有木马或可疑文件。

    例如，服务器WEB目录是 d:\home\网站111\wwwroot，当此目录中有 ASP / PHP / ASPX ... 等
文件上传、BBS论坛附件上传、木马文件上传时，会被立刻监控到，同时对此文件进行过滤扫 描，若发现
是木马文件，对此文件进行改名拦截处理。如果是可疑文件则写入日志记录，供服务器管理员进行查阅审计。

    当前版本具备以下功能模块

软件简要操作步骤

1、点“手动扫描木马”，对网站目录 ASP / PHP / ASPX ... 文件进行一次过滤扫描，检查是否存在木马或可疑文件

2、扫描完成后，点“导入日志文件”，将生成的日志导入数据库中进行分析

3、点“删除重复记录”删除重复的记录，多次扫描，或监控后，同一个文件可能被多次监控到，将重复记录删除掉

4、对扫描到的文件进行分析，若确认是ASP/PHP...木马，则进行改名删除。如果是误报，将文件或目录加入白名单

5、处理完成后，点“启动主动防御”，对目录里创建和写入的新 ASP / PHP / ASPX ...等文件进行实时监控

6、定期“导入日志文件”对监控到文件进行进一步分析。

软件详细操作步骤

1、在 http://www.zcnt.com/filemon.asp 下载《文件监控软件》，然后进行安装

2、安装完成后，启动《文件监控软件》，如下图所示，点“手动扫描木马”

3、进行监控规则设置

（1）监控目录设置，例如 d:\home 这样的目录，进行监控
（2）设置需要监控的脚本，一般设置 .asp / .php / .aspx ... 程序类脚本即可，其他 HTML / JPG / RAR / ZIP 等静态脚本不需要监控

.asp
.php
.aspx
.ashx
.asa
.asax
.cdx
.cer

（特别说明：类似 xxx.asp;yyy.jpg 这样的 ASP JPG 木马文件，请使用《文件防篡改软件》进行保护，软件下载地址 http://www.zcnt.com/FileSysMon.asp）

（3）填写完成后，点“开始扫描”

4、开始扫描后，会对刚才设置目录中的每个 ASP / PHP / ASPX ... 文件进行扫描

如果下图所示，将弹出一个新窗口，对文件进行扫描，扫描完成后，将显示扫描文件个数和木马或可疑文件个数

5、扫描完成后，点“导入日志文件”，将扫描的结果导入，进行分析

6、在文件列表里，点一个文件，即可看到此文件的内容

（1）如果确认是木马文件后，点“改名已选文件”，将此文件改名，让此木马作废，无法通过 IIS运行。
（2）如果是误报记录，点“加入文件白名单”，此文件会被作为白名单处理。
（3）如果日志里记录的文件已经被删除，点“校验日志文件”可以批量排除此类已经删除了的文件。

7、启动主动防御

（1）对网站目录里扫描到的木马文件进行处理
（2）将误报的文件加入到白名单里
（3）点“启动主动防御”，对网站目录进行实时监控，以后目录里有创建或写入新的文件会自动进行扫描，如果是木马文件则进行改名拦截处理。

8、如果没有日志文件，或导入日志文件失败，检查步骤

（1）《文件监控软件》正常运行后，会在安装目录的 FMLog 目录下生成日志
文件，如下图所示，看看是否有日志文件生成？

（2）如果无法看到日志文件，打开 Windows 任务管理器，看看是否有一个“wzxFileScaner.exe”的进
程在运行，如果此进程不存在。可能是没有开启监控，或监控配置文件设置有错误。

    如果此进程存在，但没有日志文件，有可能是当前未监控到木马特征文件。可以做一个测试，写入一
个 111.asp 文件，然后写入几个木马特征关键字进行测试，看看是否立刻生成日志文件。

（3）如果无法看到日志文件，检查检查程序是否正常启动？

    打开《文件监控软件》里的“__wzxFileScaner.log”日志文件，看看软件运行状
态是否正常？如果软件启动失败，这里会记录监控软件无法启动的原因。

（4）如果多次测试后，仍然无法看到监控日志，请联系我们的客服人员，我们为您排查无法监控的文件的原因。