广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 32419 个阅读者
 
<<   1   2   3  下页 >>(共 3 页)
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x2
[资讯教学] 利用Autoruns,轻松判断是否中毒,轻松DIY清除木马。
利用Autoruns,轻松判断是否中毒,轻松DIY清除木马。

一.前言。

◣文章浏览最佳解析度:1280*1024

Autoruns是一款由Microsoft所推出的工具,拥有不逊于SREng的报表能力,有些部份甚至赢过SREng。
与SREng不同的是,Autoruns可以方便快速的检查启动项,我认为很适合一般用户自行检查是否有中毒。

详细理论部份,就不详提了,有兴趣请见官方。
http://www.microsoft.com/technet/sysi...es/Autoruns.mspx

Autoruns下载点:
http://download.sysinternals...utoruns.zip

近来有很多恶意程式会利用IFEO(映像挟持)造成工具无法开启,若Autoruns不能运行,请自行更换名称、副档名。
任何工具都是两面刀,操作请务必小心谨慎!



Autoruns适用处理范围木马、间谍、广告、后门、大致上全部都可以处理,不过有部份会进行档案感染的蠕虫就无法 简单的使用工具处理了。








二.木马基础概念。

防毒软体侦测到木马,但是却删不掉,或者删除过后又再生,这因该很多人都碰过,也是许多人的梦魇。
究竟为什么会造成这个原因呢?

一只完整的木马,通常不会只有一个档案,它会利用各种手动想办法不要被删除,于是产生很多生成物,这些生成物之前彼此保护,防毒软体通常都没砍干净,甚至连侦测到都没有,这就是所谓「斩草不除根,春风吹又生」,要彻底清除木马,得砍掉他最重要的启动程式。

木马也只是个普通的程式,若没特殊条件进行启动,根本无法运作,且最常利用的方式就是注册表(登录档),但是那么繁杂混乱的登录档,一般人根本无从判断起,也丝毫没有头绪,这时候就该借助工具了,Autoruns就是一款操作简单,判断容易的安全软件,足以让您DIY清除木马。








三.自动判定启动项、产生Log。

当档案下载完成,且解压缩之后,双击两下"autoruns.exe"程式就会启动了。





这就是这款软体为什么可以简单判断注册表的原因了。



透过连接Microsoft资料库,且自动隐藏验证过的Microsoft物件,达到大幅度简化Log效果。



各位可以与没经过验证、隐藏的Log比较看看,精简了非常非常多。




接下来进行输出Log的动作,方便日后运用。



接着请输出(Save)Log,一来有需要时可提供给版上大大判读,二来需要有Log才能使用Autoruns经典功能之一。











四.启动项的判断。

判断启动项有两种方法,一种是节省时间,也较为方便的方法,不过还是得靠一点经验。


方法(1).网路搜寻资料。







方法(2).VT判读法。 (VT网址:http://www.virustotal.com...otalf.html)
稍微简介一下VT,VT就是一个专门提供扫描服务的网站,内含有非常多种防毒引擎,也就是说您可以一次使用数十种防毒软体来检查这个档案。



由于很多档案会以「隐藏档」、「作业系统档」的形式存在,所以请先行修改资料夹选项,否则可能会无法找到档案。
  修改资料夹选项的步骤大致如下,由于操作简单,就不用太多图片说明,改用文字说明呈现。

  ①点选「我的电脑」。
  ②工具 > 资料夹选项 。
  ③然后上方选择到检视。
  ④之后请见下图操作。

由于有些档案属性是「作业系统档案」、「隐藏档」,所以需要修改资料夹选项才可看见,请照图操作。

修改过后请自行手动连结到VT。
(VT网址:http://www.virustotal.com...otalf.html)
















若自己不敢确定,可以尝试回报防毒软体公司,或者请其他大大协助判断、回报。







五.威胁处理。

要清理一只木马要分两个部份,登录档(Registry)、实体档案。
Autoruns只能处理登录档,实体档案部份请自行运用工具处理,只要是能删除档案的工具都可以,没了启动项,木马不过就是破铜烂铁。



当确认有威胁,且删除登录档过后,请重新启动一次电脑,在删除实体档案,确保操作期间不会受到干扰。
若手动还是删除不了,可以运用一下删除工具,这种工具各位因该都多少会几款,就不详细说明了。
可运用之删除的工具有(Unlocker、KillBox、费尔木马强力清除助手、Icesword、Gmer、等等等...。)


◣建议清除步骤简述。

步骤一.请先准备相关会应用到的工具。 EX:(Unlocker、KillBox、费尔木马强力清除助手,随便选一款自己会用的就好。)

步骤二.关闭系统还原、清空IE暂存档。

步骤三.进入安全模式。

步骤四.启动「Autoruns」,照上图说明删除登录档。

步骤六.请再度重新开机,且再度进入安全模式。

步骤七.使用删除工具,对实体档案进行删除。
◣备注:可能得修改资料夹选项才看的到档案,如何修改资料夹选项在文中有提到,请自行查看。


P.S 清除方法有很多种,以上是个人推荐之清除方案。
    还是强调,工具操作请谨慎小心。








六.在未来怀疑中毒?自己DIY比对Log!

这就是为何么推广此软件的原因了,可以进行「前后比对」,当未来某一天您怀疑有中木马时,可以输出Log进行比对。

Options设定部份请不要进行任何修改,保持「核对微软资料库、隐藏验证过的微软程式」的设置,以免造成一些混乱状况发生。













七.结论。

这款软件我早就想推广了,自行检查启动项,及未来当作比对用途,都非常方便,也非常适合一般大众。
刚好碰到端午连续假期,花了两天的时间编辑完成,由于进度匆忙,若发现有错误烦请指正。

为了推广此工具,欢迎各位自由转载。



爸爸 你一路好走
献花 x6 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2007-07-10 18:10 |
hantzwu
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

小弟也是一直用这个『小而美』的工具来解决问题,看到大哥这么深入的应用真是敬佩!
我的方法是利用「Publisher」来判别是否有问题,帮了我非常多忙,最最重要的是『免费』。
感谢大哥及 sysinternals 原作者!


献花 x0 回到顶端 [1 楼] From:台湾中华 | Posted:2007-08-14 22:04 |
f117a
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x98
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

原来防毒也可以利用简单的软体,就可以达到防毒的效果,
真得很棒,可以解决目前防毒软体需要金钥的问题.


献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2007-12-11 19:56 |
boringman829 手机
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x10
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

正在试用中!
目前小弟是用avast来扫毒,
大大提供的教学分享对我非常有助益,
vt网路的扫毒程式应有尽有,
赶快来吸收您的文章以及加强防毒安全啰!
谢谢这位大大。


献花 x0 回到顶端 [3 楼] From:台湾 | Posted:2007-12-18 15:50 |
lssac911a
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x9
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

谢谢你的分享 这个文章我就知道怎么操作了
目前我正在上传档案查验中
真是一个很好自行DIY检查的一个方式
表情


生命的目的,在于如何使生活变得更好。
学习的目的,在于如何明了间题所在及解决问题。
我会努力过活与学习的!^^
献花 x0 回到顶端 [4 楼] From:台湾中华HiNet | Posted:2007-12-19 12:20 |
yuan2626
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x18
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢分享
下载来试试看


献花 x0 回到顶端 [5 楼] From:台湾台北市内湖区(瑞光路478巷20 | Posted:2007-12-22 15:34 |
highgreen
数位造型
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x11
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

想不到用简单的方式也能防毒防骇,谢谢分享


献花 x0 回到顶端 [6 楼] From:台湾 | Posted:2007-12-28 12:47 |
descent 手机
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x1 鲜花 x45
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

骇客难防 扫毒程式 找不到

少开 *.cmd

多半都是 让你中毒 却让你无所示从的

因为病毒会隐藏在硬碟的根目录下 让WINDOWS XP 自动执行[它]

在WINDOWS XP 根本看不到 就算开启隐藏档的状态 也看不到[它]

要靠自己解毒 根本无从解起


献花 x0 回到顶端 [7 楼] From:台湾中华HiNet | Posted:2008-01-21 10:13 |
樱花雨
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

这我对系统也不是很了!...,看到大大真是热心我为你加油!!!
通常我都是重装,只要一段时间系统有些怪,就差不多要重装 表情
我以前比较天真比较傻,现在长大了... 表情
直接砍了重练.....
毕竟要一样一样比对还是要有些电脑功力才有可能办的到.... 表情


不自由的分享限制
将为自由加上脚链
献花 x0 回到顶端 [8 楼] From:欧洲 | Posted:2008-03-03 21:10 |
沉默的人 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x72
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

我个人觉得这葛软体很难用
但是他不会有像卡把一样会有黑名单之类的东西


献花 x0 回到顶端 [9 楼] From:台湾 | Posted:2008-03-22 12:04 |

<<   1   2   3  下页 >>(共 3 页)
首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.057503 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言