RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [轉貼]利用 sysinternals Autoruns,輕鬆判斷是否中毒,輕鬆DIY清除木馬   字型大小:||| 
jocosn
白銀驢友
等級: 15等級: 15等級: 15等級: 15等級: 15


今日心情

 . 積分: 1386
 . 精華: 2
 . 文章: 2945
 . 收花: 9537 支
 . 送花: 3671 支
 . 比例: 0.38
 . 在線: 1295 小時
 . 瀏覽: 19041 頁
 . 註冊: 7456
 . 失蹤: 1458
#1 : 2007-12-7 01:33 AM     只看本作者 引言回覆

利用Autoruns,輕鬆判斷是否中毒,輕鬆DIY清除木馬。

一.  前言
Autoruns是一款由Microsoft所推出的工具,擁有不遜於SREng的報表能力,有些部份甚至贏過SREng。
與SREng不同的是,Autoruns可以方便快速的檢查啟動項,我認為很適合一般用戶自行檢查是否有中毒。

詳細理論部份,就不詳提了,有興趣請見官方。
http://www.microsoft.com/technet ... ities/Autoruns.mspx

Autoruns下載點:
http://download.sysinternals.com/Files/Autoruns.zip

▲近來有很多惡意程式會利用IFEO(映像挾持)造成工具無法開啟,若Autoruns不能運行,請自行更換名稱、副檔名。
▲任何工具都是兩面刀,操作請務必小心謹慎!

Autoruns適用處理範圍:木馬、間諜、廣告、後門、大致上全部都可以處理,不過有部份會進行檔案感染的蠕蟲就無法 簡單的使用工具處理了。




二.  木馬基礎概念
防毒軟體偵測到木馬,但是卻刪不掉,或者刪除過後又再生,這因該很多人都碰過,也是許多人的夢魘。
究竟為什麼會造成這個原因呢?

一隻完整的木馬,通常不會只有一個檔案,它會利用各種手動想辦法不要被刪除,於是產生很多生成物,這些生成物之前彼此保護,防毒軟體通常都沒砍乾淨,甚至連偵測到都沒有,這就是所謂「斬草不除根,春風吹又生」,要徹底清除木馬,得砍掉他最重要的啟動程式。

木馬也只是個普通的程式,若沒特殊條件進行啟動,根本無法運作,且最常利用的方式就是註冊表(登錄檔),但是那麼繁雜混亂的登錄檔,一般人根本無從判斷起,也絲毫沒有頭緒,這時候就該借助工具了,Autoruns就是一款操作簡單,判斷容易的安全軟件,足以讓您DIY清除木馬。




三.  自動判定啟動項、產生Log
當檔案下載完成,且解壓縮之後,雙擊兩下"autoruns.exe"程式就會啟動了。


這就是這款軟體為什麼可以簡單判斷註冊表的原因了。


透過連接Microsoft資料庫,且自動隱藏驗證過的Microsoft物件,達到大幅度簡化Log效果。


各位可以與沒經過驗證、隱藏的Log比較看看,精簡了非常非常多。

接下來進行輸出Log的動作,方便日後運用。


接著請輸出(Save)Log,一來有需要時可提供給版上大大判讀,二來需要有Log才能使用Autoruns經典功能之一。





四.  啟動項的判斷
判斷啟動項有兩種方法,一種是節省時間,也較為方便的方法,不過還是得靠一點經驗。

方法(1)  網路搜尋資料




方法(2)  VT判讀法 (VT網址:http://www.virustotal.com/en/virustotalf.html)
稍微簡介一下VT,VT就是一個專門提供掃描服務的網站,內含有非常多種防毒引擎,也就是說您可以一次使用數十種防毒軟體來檢查這個檔案。


▲由於很多檔案會以「隱藏檔」、「作業系統檔」的形式存在,所以請先行修改資料夾選項,否則可能會無法找到檔案。
  修改資料夾選項的步驟大致如下,由於操作簡單,就不用太多圖片說明,改用文字說明呈現。

  ①點選「我的電腦」。
  ②工具 > 資料夾選項 。
  ③然後上方選擇到檢視。
  ④之後請見下圖操作。


由於有些檔案屬性是「作業系統檔案」、「隱藏檔」,所以需要修改資料夾選項才可看見,請照圖操作。

修改過後請自行手動連結到VT。(VT網址:http://www.virustotal.com/en/virustotalf.html)



若自己不敢確定,可以嘗試回報防毒軟體公司,或者請其他大大協助判斷、回報。




五.  威脅處理
要清理一隻木馬要分兩個部份,登錄檔(Registry)、實體檔案。
Autoruns只能處理登錄檔,實體檔案部份請自行運用工具處理,只要是能刪除檔案的工具都可以,沒了啟動項,木馬不過就是破銅爛鐵。

當確認有威脅,且刪除登錄檔過後,請重新啟動一次電腦,在刪除實體檔案,確保操作期間不會受到干擾。
若手動還是刪除不了,可以運用一下刪除工具,這種工具各位因該都多少會幾款,就不詳細說明了。
可運用之刪除的工具有(Unlocker、KillBox、費爾木馬強力清除助手、Icesword、Gmer、等等等...。)


◣建議清除步驟簡述。
步驟一.  請先準備相關會應用到的工具。 EX:(Unlocker、KillBox、費爾木馬強力清除助手,隨便選一款自己會用的就好。)
步驟二.  關閉系統還原、清空IE暫存檔。
步驟三.  進入安全模式。
步驟四.  啟動「Autoruns」,照上圖說明刪除登錄檔。
步驟六.  請再度重新開機,且再度進入安全模式。
步驟七.  使用刪除工具,對實體檔案進行刪除。

◣備註:可能得修改資料夾選項才看的到檔案,如何修改資料夾選項在文中有提到,請自行查看。

P.S 清除方法有很多種,以上是個人推薦之清除方案。
    還是強調,工具操作請謹慎小心。




六.  在未來懷疑中毒?自己DIY比對Log!
這就是為何麼推廣此軟件的原因了,可以進行「前後比對」,當未來某一天您懷疑有中木馬時,可以輸出Log進行比對。

▲Options設定部份請不要進行任何修改,保持「核對微軟資料庫、隱藏驗證過的微軟程式」的設置,以免造成一些混亂狀況發生。






七.  結論
這款軟件我早就想推廣了,自行檢查啟動項,及未來當作比對用途,都非常方便,也非常適合一般大眾。
剛好碰到端午連續假期,花了兩天的時間編輯完成,由於進度匆忙,若發現有錯誤煩請指正。


-------------------------------------------------------------------------
為了推廣此工具,歡迎各位自由轉載。

[jocosn 在  2007-12-7 01:56 AM 作了最後編輯]


 附件: 您所在的用戶組無法下載或查看附件

相關關鍵字: Autoruns  中毒  木馬  






[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
aTimWu
銅驢友〔初級〕
等級: 8等級: 8


今日心情

 . 積分: 100
 . 文章: 580
 . 收花: 597 支
 . 送花: 71 支
 . 比例: 0.12
 . 在線: 1001 小時
 . 瀏覽: 9760 頁
 . 註冊: 7274
 . 失蹤: 4
#2 : 2007-12-7 09:06 AM     只看本作者 引言回覆

端午連續假期


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
xom278
銅驢友〔初級〕
等級: 8等級: 8


今日心情

 . 積分: 111
 . 文章: 588
 . 收花: 678 支
 . 送花: 12448 支
 . 比例: 18.36
 . 在線: 1888 小時
 . 瀏覽: 20014 頁
 . 註冊: 6772
 . 失蹤: 155
#3 : 2007-12-15 09:34 PM     只看本作者 引言回覆

我已被木馬困擾很久
春風吹又生



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
chlu
鐵驢友〔高級〕
等級: 6等級: 6
...

今日心情

 . 積分: 64
 . 文章: 313
 . 收花: 460 支
 . 送花: 395 支
 . 比例: 0.86
 . 在線: 881 小時
 . 瀏覽: 6380 頁
 . 註冊: 8201
 . 失蹤: 2795
 . 台灣
#4 : 2008-4-28 09:43 PM     只看本作者 引言回覆

這是微風轉來的八
不過他這種怪怪的程式
聽都沒聽過   不過倒是入精華的
倒也不是真的那方便吧
還要看來看去  步驟又多 而且對不懂的人好像只會越搞越糟
不過也倒不是說微風的人比較爛  ..還是也有很多高手



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-26 12:24 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.020021 second(s), 6 queries , Qzip disabled