广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 7411 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 一些安全工具的简单操作

转贴自微风论坛..

前言
当然,简单操做而已。如果有更好的意见欢迎提出。

Autoruns 介绍
下载点
Autoruns为一款管理开机的软体,可以用来查找开机自动运行的程式。此软体最大的特色为在系统干净的情况下可以备份日志,等到系统中木马时,再拿出来比对。

1.下载执行后产生如下图所示


2.找到File,下拉SAVE,备份一干净系统开机日志,软体预设存档档名为AutoRuns.txt。
当然如果你不确定系统是否干净或根本确认有毒,也可以将日志贴出,供版友检查。



3.当系统发生疑似有木马时拿出来比对。
点选File,下拉Compare。



找到原先备份的档案以作比对。此处备份的档案为AutoRuns.txt


4.软体比对前后档案后,将异动的项目以绿色标示出。



5.如确定为恶意项目,滑鼠游标移至该项目,右键点选该项目,按下"Delete",删除该项目。



6.如果不确定是否为恶意项目,也可以通过Google寻找相关讯息。
  滑鼠游标移至该项目,右键点选该项目,按下"Goolge"。


System Repair Engineer
System Repair Engineer(SREng)为一款强大的系统修复工具。其扫描日志远较hijackthis来的详细。更详尽的介绍请点我
官方下载点
使用此工具会自动连上官网检查是否有更新的版本,仍能正常运作。

以下仅做些基本介绍。
1.     对系统做扫描,切换到smart scan页签,勾选"Verify the digital signature of process modules",之后 按下scan进行扫描。


2.     扫瞄完成后,按下Save report输出日志。如不确定哪些项目为危险项目,可以将日志贴出供版上大大查看。


3.     如不确定是否为可疑项目,可以右键点击该项目,使用Google查找。
如确定为可疑项目,可以删除或修改该项目,按下Edit或是Delete。


4.     我们在使用防毒软体扫毒时,往往删除病毒后,却留下后遗症,造成exe等文件无法开启,这个软体正好可以解决此问题。切换到System repair页面、找到File Assocation、勾选select all,按下Repair。如果System Repair engireer无法执行,请将其副档名改为com。


5.     有些病毒可能会造成您的防毒软体无法正常更新病毒码或是您无法使用线上扫毒扫描电脑。请按照以下步骤检查host文件,切换到System repair页面、在上方页签中选择Host file,正常Host应该只有这行叙述:
127.0.0.1     localhost
  如有多余叙述,除非您确定知道那是什么,否则请选择该项叙述,按下delete。
 
 
6.     当工作管理员无法执行、无法使用windows自带的登录编辑器、无法使用控制台时等可以按照以下方法解决。切换到System Repair engireer,选择windows shell页签,勾选select all、按下repair修复。


Icesword
对岸号称斩杀木马的利器,在国外也是很有名的一款软体。主要功用为结束进程、查找后门、Rookit、强制删除登录机码。建议使用英文版。

下载页面

使用木马样本测试,该木马会在C:/womdows/system/ 生成service.exe


1..     使用icesword可以查看正在执行的程序。

windows自带的工作管理员没有显示程序



切换到process页面,icesword侦测到执行中隐藏的木马程式,以红色标示。右键点选此程式,选择Terminate process可以中止此木马程式。



2.使用icesword 观察隐藏中毒档案
   
即使打开windows 隐藏档案属性,在C:/womdows/system/,仍然没有办法看到service.exe这支木马。


使用icesword 切换到File,在C:/womdows/system/,找到service.exe这支隐藏木马,右键点选delete即可删除。


3.     强制删除登录机码。切换到registry,找寻欲删除的机码,右键点选delete。

                                                                     

4.     Sometime,我们会碰到防毒软体警报 *dll 文件无法清除,可以使用process explorer来找出挂钩的程序,当然如果不是系统进程,直接结束再删掉dll 就好了,可是process explorer 往往会告诉我们寄宿的程序为svchost.exe, explorer.exe,winlogon.exe这些系统程序,此时我们可以使用icesword来卸载 dll文件。在process页中找到系统进程,点选右键"Moudle Information",查看讯息。注意有时候卸载*dll会造成系统当机,此时就必须请出system safety monitor来禁止*dll文件的载入

选择欲卸载的*dl,点选unload卸载或是unload(force)来强制卸载。l






5.   可以i监看一些隐藏服务。隐藏服务icesword会以红色标示。


RookitReveal
下载点
检查Rookit。

下载RookitReveal,执行后按照下图所示,可以扫描及输出日志。




Unlocker
下载点

解除程序占用,让恶意程式能顺利移除。


LSP-Fix、WinsockxpFix
WinsockxpFix下载点
LSP-Fix下载点

1.使用LSP-Fix修复hijackthis 010项

2.修复后如果无法上线,请使用WinsockxpFix修复网路。

3.LSPFix、WinsockxpFix务必同时下载在进行步骤1的修复动作,以免因为修复造成网路无法连线。





确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [楼 主] From:台湾中华电信 | Posted:2006-11-23 20:47 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

这一篇 我也有看到 但忘了转来贴
感谢提供
Autoruns 这一套非常好用 特别推荐一下
另外玩一下 中文化
把它修改了一下 有空再把它完全中文化
因为并非一般常用软体 一般中文化网站 都没有分享


本帖包含附件
zip Autoruns.zip   (2022-06-09 14:02 / 326 KB)  
说明: 中文化
下载次数:75


爸爸 你一路好走
献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2006-11-23 21:11 |
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

目前手上三把利剑...

IceSword + Autoruns + Process Explore

这三把剑同时拔出,还没有不躺平的..目前来说...



确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [2 楼] From:台湾中华电信 | Posted:2006-11-23 21:27 |
紫炎苍龙
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x12
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢大大的无私分享,谢谢啰


献花 x0 回到顶端 [3 楼] From:台湾中华电信HINET | Posted:2006-12-17 19:43 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.065699 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言