廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 32335 個閱讀者
 
<<   1   2   3  下頁 >>(共 3 頁)
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x2
[資訊教學] 利用Autoruns,輕鬆判斷是否中毒,輕鬆DIY清除木馬。
利用Autoruns,輕鬆判斷是否中毒,輕鬆DIY清除木馬。

一.前言。

◣文章瀏覽最佳解析度:1280*1024

Autoruns是一款由Microsoft所推出的工具,擁有不遜於SREng的報表能力,有些部份甚至贏過SREng。
與SREng不同的是,Autoruns可以方便快速的檢查啟動項,我認為很適合一般用戶自行檢查是否有中毒。

詳細理論部份,就不詳提了,有興趣請見官方。
http://www.microsoft.com/technet/sysi...es/Autoruns.mspx

Autoruns下載點:
http://download.sysinternals...utoruns.zip

近來有很多惡意程式會利用IFEO(映像挾持)造成工具無法開啟,若Autoruns不能運行,請自行更換名稱、副檔名。
任何工具都是兩面刀,操作請務必小心謹慎!



Autoruns適用處理範圍木馬、間諜、廣告、後門、大致上全部都可以處理,不過有部份會進行檔案感染的蠕蟲就無法 簡單的使用工具處理了。








二.木馬基礎概念。

防毒軟體偵測到木馬,但是卻刪不掉,或者刪除過後又再生,這因該很多人都碰過,也是許多人的夢魘。
究竟為什麼會造成這個原因呢?

一隻完整的木馬,通常不會只有一個檔案,它會利用各種手動想辦法不要被刪除,於是產生很多生成物,這些生成物之前彼此保護,防毒軟體通常都沒砍乾淨,甚至連偵測到都沒有,這就是所謂「斬草不除根,春風吹又生」,要徹底清除木馬,得砍掉他最重要的啟動程式。

木馬也只是個普通的程式,若沒特殊條件進行啟動,根本無法運作,且最常利用的方式就是註冊表(登錄檔),但是那麼繁雜混亂的登錄檔,一般人根本無從判斷起,也絲毫沒有頭緒,這時候就該借助工具了,Autoruns就是一款操作簡單,判斷容易的安全軟件,足以讓您DIY清除木馬。








三.自動判定啟動項、產生Log。

當檔案下載完成,且解壓縮之後,雙擊兩下"autoruns.exe"程式就會啟動了。





這就是這款軟體為什麼可以簡單判斷註冊表的原因了。



透過連接Microsoft資料庫,且自動隱藏驗證過的Microsoft物件,達到大幅度簡化Log效果。



各位可以與沒經過驗證、隱藏的Log比較看看,精簡了非常非常多。




接下來進行輸出Log的動作,方便日後運用。



接著請輸出(Save)Log,一來有需要時可提供給版上大大判讀,二來需要有Log才能使用Autoruns經典功能之一。











四.啟動項的判斷。

判斷啟動項有兩種方法,一種是節省時間,也較為方便的方法,不過還是得靠一點經驗。


方法(1).網路搜尋資料。







方法(2).VT判讀法。 (VT網址:http://www.virustotal.com...otalf.html)
稍微簡介一下VT,VT就是一個專門提供掃描服務的網站,內含有非常多種防毒引擎,也就是說您可以一次使用數十種防毒軟體來檢查這個檔案。



由於很多檔案會以「隱藏檔」、「作業系統檔」的形式存在,所以請先行修改資料夾選項,否則可能會無法找到檔案。
  修改資料夾選項的步驟大致如下,由於操作簡單,就不用太多圖片說明,改用文字說明呈現。

  ①點選「我的電腦」。
  ②工具 > 資料夾選項 。
  ③然後上方選擇到檢視。
  ④之後請見下圖操作。

由於有些檔案屬性是「作業系統檔案」、「隱藏檔」,所以需要修改資料夾選項才可看見,請照圖操作。

修改過後請自行手動連結到VT。
(VT網址:http://www.virustotal.com...otalf.html)
















若自己不敢確定,可以嘗試回報防毒軟體公司,或者請其他大大協助判斷、回報。







五.威脅處理。

要清理一隻木馬要分兩個部份,登錄檔(Registry)、實體檔案。
Autoruns只能處理登錄檔,實體檔案部份請自行運用工具處理,只要是能刪除檔案的工具都可以,沒了啟動項,木馬不過就是破銅爛鐵。



當確認有威脅,且刪除登錄檔過後,請重新啟動一次電腦,在刪除實體檔案,確保操作期間不會受到干擾。
若手動還是刪除不了,可以運用一下刪除工具,這種工具各位因該都多少會幾款,就不詳細說明了。
可運用之刪除的工具有(Unlocker、KillBox、費爾木馬強力清除助手、Icesword、Gmer、等等等...。)


◣建議清除步驟簡述。

步驟一.請先準備相關會應用到的工具。 EX:(Unlocker、KillBox、費爾木馬強力清除助手,隨便選一款自己會用的就好。)

步驟二.關閉系統還原、清空IE暫存檔。

步驟三.進入安全模式。

步驟四.啟動「Autoruns」,照上圖說明刪除登錄檔。

步驟六.請再度重新開機,且再度進入安全模式。

步驟七.使用刪除工具,對實體檔案進行刪除。
◣備註:可能得修改資料夾選項才看的到檔案,如何修改資料夾選項在文中有提到,請自行查看。


P.S 清除方法有很多種,以上是個人推薦之清除方案。
    還是強調,工具操作請謹慎小心。








六.在未來懷疑中毒?自己DIY比對Log!

這就是為何麼推廣此軟件的原因了,可以進行「前後比對」,當未來某一天您懷疑有中木馬時,可以輸出Log進行比對。

Options設定部份請不要進行任何修改,保持「核對微軟資料庫、隱藏驗證過的微軟程式」的設置,以免造成一些混亂狀況發生。













七.結論。

這款軟件我早就想推廣了,自行檢查啟動項,及未來當作比對用途,都非常方便,也非常適合一般大眾。
剛好碰到端午連續假期,花了兩天的時間編輯完成,由於進度匆忙,若發現有錯誤煩請指正。

為了推廣此工具,歡迎各位自由轉載。



爸爸 你一路好走
獻花 x6 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-07-10 18:10 |
hantzwu
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

小弟也是一直用這個『小而美』的工具來解決問題,看到大哥這麼深入的應用真是敬佩!
我的方法是利用「Publisher」來判別是否有問題,幫了我非常多忙,最最重要的是『免費』。
感謝大哥及 sysinternals 原作者!


獻花 x0 回到頂端 [1 樓] From:臺灣中華 | Posted:2007-08-14 22:04 |
f117a
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x98
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

原來防毒也可以利用簡單的軟體,就可以達到防毒的效果,
真得很棒,可以解決目前防毒軟體需要金鑰的問題.


獻花 x0 回到頂端 [2 樓] From:臺灣 | Posted:2007-12-11 19:56 |
boringman829 手機
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x10
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

正在試用中!
目前小弟是用avast來掃毒,
大大提供的教學分享對我非常有助益,
vt網路的掃毒程式應有盡有,
趕快來吸收您的文章以及加強防毒安全囉!
謝謝這位大大。


獻花 x0 回到頂端 [3 樓] From:臺灣 | Posted:2007-12-18 15:50 |
lssac911a
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x9
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

謝謝你的分享 這個文章我就知道怎麼操作了
目前我正在上傳檔案查驗中
真是一個很好自行DIY檢查的一個方式
表情


生命的目的,在於如何使生活變得更好。
學習的目的,在於如何明瞭間題所在及解決問題。
我會努力過活與學習的!^^
獻花 x0 回到頂端 [4 樓] From:臺灣中華HiNet | Posted:2007-12-19 12:20 |
yuan2626
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x18
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

感謝分享
下載來試試看


獻花 x0 回到頂端 [5 樓] From:臺灣臺北市內湖區(瑞光路478巷20 | Posted:2007-12-22 15:34 |
highgreen
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x11
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

想不到用簡單的方式也能防毒防駭,謝謝分享


獻花 x0 回到頂端 [6 樓] From:臺灣 | Posted:2007-12-28 12:47 |
descent 手機
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x1 鮮花 x45
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

駭客難防 掃毒程式 找不到

少開 *.cmd

多半都是 讓你中毒 卻讓你無所示從的

因為病毒會隱藏在硬碟的根目錄下 讓WINDOWS XP 自動執行[它]

在WINDOWS XP 根本看不到 就算開啟隱藏檔的狀態 也看不到[它]

要靠自己解毒 根本無從解起


獻花 x0 回到頂端 [7 樓] From:臺灣中華HiNet | Posted:2008-01-21 10:13 |
櫻花雨
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

這我對系統也不是很了!...,看到大大真是熱心我為你加油!!!
通常我都是重裝,只要一段時間系統有些怪,就差不多要重裝 表情
我以前比較天真比較傻,現在長大了... 表情
直接砍了重練.....
畢竟要一樣一樣比對還是要有些電腦功力才有可能辦的到.... 表情


不自由的分享限制
將為自由加上腳鏈
獻花 x0 回到頂端 [8 樓] From:歐洲 | Posted:2008-03-03 21:10 |
沉默的人 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x72
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

我個人覺得這葛軟體很難用
但是他不會有像卡把一樣會有黑名單之類的東西


獻花 x0 回到頂端 [9 樓] From:臺灣 | Posted:2008-03-22 12:04 |

<<   1   2   3  下頁 >>(共 3 頁)
首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.061140 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言