廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 7427 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 一些安全工具的簡單操作

轉貼自微風論壇..

前言
當然,簡單操做而已。如果有更好的意見歡迎提出。

Autoruns 介紹
下載點
Autoruns為一款管理開機的軟體,可以用來查找開機自動運行的程式。此軟體最大的特色為在系統乾淨的情況下可以備份日誌,等到系統中木馬時,再拿出來比對。

1.下載執行後產生如下圖所示


2.找到File,下拉SAVE,備份一乾淨系統開機日誌,軟體預設存檔檔名為AutoRuns.txt。
當然如果你不確定系統是否乾淨或根本確認有毒,也可以將日誌貼出,供版友檢查。



3.當系統發生疑似有木馬時拿出來比對。
點選File,下拉Compare。



找到原先備份的檔案以作比對。此處備份的檔案為AutoRuns.txt


4.軟體比對前後檔案後,將異動的項目以綠色標示出。



5.如確定為惡意項目,滑鼠游標移至該項目,右鍵點選該項目,按下"Delete",刪除該項目。



6.如果不確定是否為惡意項目,也可以通過Google尋找相關訊息。
  滑鼠游標移至該項目,右鍵點選該項目,按下"Goolge"。


System Repair Engineer
System Repair Engineer(SREng)為一款強大的系統修復工具。其掃描日誌遠較hijackthis來的詳細。更詳盡的介紹請點我
官方下載點
使用此工具會自動連上官網檢查是否有更新的版本,仍能正常運作。

以下僅做些基本介紹。
1.     對系統做掃描,切換到smart scan頁籤,勾選"Verify the digital signature of process modules",之後 按下scan進行掃描。


2.     掃瞄完成後,按下Save report輸出日誌。如不確定哪些項目為危險項目,可以將日誌貼出供版上大大查看。


3.     如不確定是否為可疑項目,可以右鍵點擊該項目,使用Google查找。
如確定為可疑項目,可以刪除或修改該項目,按下Edit或是Delete。


4.     我們在使用防毒軟體掃毒時,往往刪除病毒後,卻留下後遺症,造成exe等文件無法開啟,這個軟體正好可以解決此問題。切換到System repair頁面、找到File Assocation、勾選select all,按下Repair。如果System Repair engireer無法執行,請將其副檔名改為com。


5.     有些病毒可能會造成您的防毒軟體無法正常更新病毒碼或是您無法使用線上掃毒掃描電腦。請按照以下步驟檢查host文件,切換到System repair頁面、在上方頁籤中選擇Host file,正常Host應該只有這行敘述:
127.0.0.1     localhost
  如有多餘敘述,除非您確定知道那是什麼,否則請選擇該項敘述,按下delete。
 
 
6.     當工作管理員無法執行、無法使用windows自帶的登錄編輯器、無法使用控制台時等可以按照以下方法解決。切換到System Repair engireer,選擇windows shell頁籤,勾選select all、按下repair修復。


Icesword
對岸號稱斬殺木馬的利器,在國外也是很有名的一款軟體。主要功用為結束進程、查找後門、Rookit、強制刪除登錄機碼。建議使用英文版。

下載頁面

使用木馬樣本測試,該木馬會在C:/womdows/system/ 生成service.exe


1..     使用icesword可以查看正在執行的程序。

windows自帶的工作管理員沒有顯示程序



切換到process頁面,icesword偵測到執行中隱藏的木馬程式,以紅色標示。右鍵點選此程式,選擇Terminate process可以中止此木馬程式。



2.使用icesword 觀察隱藏中毒檔案
   
即使打開windows 隱藏檔案屬性,在C:/womdows/system/,仍然沒有辦法看到service.exe這支木馬。


使用icesword 切換到File,在C:/womdows/system/,找到service.exe這支隱藏木馬,右鍵點選delete即可刪除。


3.     強制刪除登錄機碼。切換到registry,找尋欲刪除的機碼,右鍵點選delete。

                                                                     

4.     Sometime,我們會碰到防毒軟體警報 *dll 文件無法清除,可以使用process explorer來找出掛鉤的程序,當然如果不是系統進程,直接結束再刪掉dll 就好了,可是process explorer 往往會告訴我們寄宿的程序為svchost.exe, explorer.exe,winlogon.exe這些系統程序,此時我們可以使用icesword來卸載 dll文件。在process頁中找到系統進程,點選右鍵"Moudle Information",查看訊息。注意有時候卸載*dll會造成系統當機,此時就必須請出system safety monitor來禁止*dll文件的載入

選擇欲卸載的*dl,點選unload卸載或是unload(force)來強制卸載。l






5.   可以i監看一些隱藏服務。隱藏服務icesword會以紅色標示。


RookitReveal
下載點
檢查Rookit。

下載RookitReveal,執行後按照下圖所示,可以掃描及輸出日誌。




Unlocker
下載點

解除程序佔用,讓惡意程式能順利移除。


LSP-Fix、WinsockxpFix
WinsockxpFix下載點
LSP-Fix下載點

1.使用LSP-Fix修復hijackthis 010項

2.修復後如果無法上線,請使用WinsockxpFix修復網路。

3.LSPFix、WinsockxpFix務必同時下載在進行步驟1的修復動作,以免因為修復造成網路無法連線。





確保電腦安全,勿點選不明檔案或網址
獻花 x0 回到頂端 [樓 主] From:台灣中華電信 | Posted:2006-11-23 20:47 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

這一篇 我也有看到 但忘了轉來貼
感謝提供
Autoruns 這一套非常好用 特別推薦一下
另外玩一下 中文化
把它修改了一下 有空再把它完全中文化
因為並非一般常用軟體 一般中文化網站 都沒有分享


本帖包含附件
zip Autoruns.zip   (2022-06-09 14:02 / 326 KB)  
說明: 中文化
下載次數:75


爸爸 你一路好走
獻花 x0 回到頂端 [1 樓] From:台灣 | Posted:2006-11-23 21:11 |
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

目前手上三把利劍...

IceSword + Autoruns + Process Explore

這三把劍同時拔出,還沒有不躺平的..目前來說...



確保電腦安全,勿點選不明檔案或網址
獻花 x0 回到頂端 [2 樓] From:台灣中華電信 | Posted:2006-11-23 21:27 |
紫炎蒼龍
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x12
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

感謝大大的無私分享,謝謝囉


獻花 x0 回到頂端 [3 樓] From:臺灣中華電信HINET | Posted:2006-12-17 19:43 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.090257 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言