目前分類:工具與教學 (5)
- Jul 11 Wed 2007 11:56
如何修復被惡意程式破壞的Winsock?
- Jan 26 Fri 2007 12:19
Autoruns 出新版本了
AutoRuns for Windows v8.61 支援一個新的功能「比較 (compare)」,可以與之前的結果做差異性的比較,另外,修正與 Windows 98/Me 相容性的問題。
這個工具蠻好用的,它可以查看哪些程式會自動執行 (AutoRun 或 AutoStart),亦即,當作業系統啟動後,哪些程式會自動執行 。
這個工具蠻好用的,它可以查看哪些程式會自動執行 (AutoRun 或 AutoStart),亦即,當作業系統啟動後,哪些程式會自動執行 。
- Jan 24 Wed 2007 05:01
IceSword 支援 Windows Vista
IceSword 已經可以支援 32 位元的 Windows Vista。
為什麼我要特別強調此工具呢?因為它是號稱當今最強 (也許有其他的工具比它偵測更多的 rootkit) 的 Rootkit 偵測與清除工具 (也可以利用此工具移除其他惡意程式)。如果想要試試這個工具,可以到作者的網站下載 (到其他地方下載,可不保證沒問題喔)。
如果各位知道更好的工具,請分享一下。
更新內容: 2007-01-25 06:30 PM
為什麼我要特別強調此工具呢?因為它是號稱當今最強 (也許有其他的工具比它偵測更多的 rootkit) 的 Rootkit 偵測與清除工具 (也可以利用此工具移除其他惡意程式)。如果想要試試這個工具,可以到作者的網站下載 (到其他地方下載,可不保證沒問題喔)。
如果各位知道更好的工具,請分享一下。
更新內容: 2007-01-25 06:30 PM
- Jan 07 Sun 2007 10:33
如何辦識系統上有沒有惡意程式或間諜軟體(下)
8.網路監控工具(Network Monitor Tool):這個工具可以在本機或遠端機器上監控網路封包,以檢測是否有異常的網路封包流量可能是由惡意程式或間諜軟體所造成的。比較常使用的工具是Ethereal。
9.多合一檢測工具(All-In-One Checking Tool)[9]:這個工具整合了檔案和註冊碼檢測的功能,讓你一目了然系統上有哪些檔案和註冊碼產生了變化。有些商用版本甚至包含執行程序、服務埠和網路封包監控等功能。使用這個工具要注意的是它不能看到隱藏行為。比較常使用的工具HijackThis。
10. 隱藏行為檢測工具(Hidden Behavior or Rootkit Checking Tool):上面幾個工具都使用過了,你還是覺得系統怪怪的,你可以使用檢測隱藏行為的工具檢查你的系統是否已經感染了惡意程式或間諜軟體。比較常使用的工具是IceSword。
11. 救援系統光碟(Rescue System CD):最後,如果你還是懷疑你的系統,你可以使用救援系統光碟將系統切換至另一個系統,然後,檢測原本的系統是否已經感染了惡意程式。使用這個工具之前是你已經做好相關的準備工作,像是已經做了一份系統檔案完整性列表或是已經準備好了防毒軟體(有些防毒軟體已經與救援系統光碟整合在一起了,你可以打電話詢問廠商)。比較常使用的工具是微軟提供的WinPE或是免費的BartPE。
如果你真的要學會如何辨識系統上有沒有惡意程式或間諜軟體,你就必須學會這些工具,否則,只好求助別人。
< 辨識系統上是否存在惡意程式的流程>
在下圖中,菱形圖形的部分,你自己可以選擇哪些要做檢查、哪些不要做檢查或是全部都要做檢查。這些步驟都很花費時間,所以,你必須要有耐心的一一的檢查。
下圖是把之前學到的偵測工具做一個列表清單,以方便讀者參考。
在這篇文章中,我只是簡略地介紹如何辦識系統上有沒有惡意程式。如果你要成為所謂的惡意程式分析辨識專家,也可以透過正規的惡意程式分析教育訓練,快速地學習到這些分析技巧和經驗。最後,你必須要很有耐心以及要有努力不懈的精神,一直重複練習,方能成功。
注意:如果各位知道有更好的工具的話,請不吝於分享,謝謝。
參考文件:
[1] 防毒軟體或反間諜軟體:依個人喜好,從防毒軟體廠商網站,選擇幾個產品或是連結到http://www.malware-test.com/tw/related_links.html
[2] 檔案完整性檢測工具:MD5 (http://userpages.umbc.edu/~mabzug1/cs/md5/md5.html)
[3] 執行程序分析工具:Process Explorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html)
[4] 註冊碼監控工具:RegMon (http://www.sysinternals.com/Utilities/Regmon.html)
[5] 自動執行檢測工具 (http://www.microsoft.com/technet/sysinternals/SystemInformation/Autoruns.mspx)
[6] 檔案監控工具: FileMon (http://www.sysinternals.com/Utilities/Filemon.html)
[7] 服務埠監控工具:TCPView (http://www.sysinternals.com/Utilities/TcpView.html)
[8] 網路監控工具:Ethereal (http://www.ethereal.com/)
[9] 多合一檢測工具HijackThis (http://www.merijn.org/programs.php#hijackthis)
[10] 隱藏行為檢測工具:IceSword (http://www.blogcn.com/user17/pjf/index.html)
[11] 救援系統光碟:WinPE (http://www.microsoft.com/taiwan/business/licensing/programs/sa/benefits/winpe.mspx)或是BartPE(http://www.nu2.nu/pebuilder/)
[12] 自動啟動註冊碼:惡意程式最常修改系統的哪些地方 (http://malware-test.com/smf/index.php?topic=1117.0)
9.多合一檢測工具(All-In-One Checking Tool)[9]:這個工具整合了檔案和註冊碼檢測的功能,讓你一目了然系統上有哪些檔案和註冊碼產生了變化。有些商用版本甚至包含執行程序、服務埠和網路封包監控等功能。使用這個工具要注意的是它不能看到隱藏行為。比較常使用的工具HijackThis。
10. 隱藏行為檢測工具(Hidden Behavior or Rootkit Checking Tool):上面幾個工具都使用過了,你還是覺得系統怪怪的,你可以使用檢測隱藏行為的工具檢查你的系統是否已經感染了惡意程式或間諜軟體。比較常使用的工具是IceSword。
11. 救援系統光碟(Rescue System CD):最後,如果你還是懷疑你的系統,你可以使用救援系統光碟將系統切換至另一個系統,然後,檢測原本的系統是否已經感染了惡意程式。使用這個工具之前是你已經做好相關的準備工作,像是已經做了一份系統檔案完整性列表或是已經準備好了防毒軟體(有些防毒軟體已經與救援系統光碟整合在一起了,你可以打電話詢問廠商)。比較常使用的工具是微軟提供的WinPE或是免費的BartPE。
如果你真的要學會如何辨識系統上有沒有惡意程式或間諜軟體,你就必須學會這些工具,否則,只好求助別人。
< 辨識系統上是否存在惡意程式的流程>
在下圖中,菱形圖形的部分,你自己可以選擇哪些要做檢查、哪些不要做檢查或是全部都要做檢查。這些步驟都很花費時間,所以,你必須要有耐心的一一的檢查。
下圖是把之前學到的偵測工具做一個列表清單,以方便讀者參考。
在這篇文章中,我只是簡略地介紹如何辦識系統上有沒有惡意程式。如果你要成為所謂的惡意程式分析辨識專家,也可以透過正規的惡意程式分析教育訓練,快速地學習到這些分析技巧和經驗。最後,你必須要很有耐心以及要有努力不懈的精神,一直重複練習,方能成功。
注意:如果各位知道有更好的工具的話,請不吝於分享,謝謝。
參考文件:
[1] 防毒軟體或反間諜軟體:依個人喜好,從防毒軟體廠商網站,選擇幾個產品或是連結到http://www.malware-test.com/tw/related_links.html
[2] 檔案完整性檢測工具:MD5 (http://userpages.umbc.edu/~mabzug1/cs/md5/md5.html)
[3] 執行程序分析工具:Process Explorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html)
[4] 註冊碼監控工具:RegMon (http://www.sysinternals.com/Utilities/Regmon.html)
[5] 自動執行檢測工具 (http://www.microsoft.com/technet/sysinternals/SystemInformation/Autoruns.mspx)
[6] 檔案監控工具: FileMon (http://www.sysinternals.com/Utilities/Filemon.html)
[7] 服務埠監控工具:TCPView (http://www.sysinternals.com/Utilities/TcpView.html)
[8] 網路監控工具:Ethereal (http://www.ethereal.com/)
[9] 多合一檢測工具HijackThis (http://www.merijn.org/programs.php#hijackthis)
[10] 隱藏行為檢測工具:IceSword (http://www.blogcn.com/user17/pjf/index.html)
[11] 救援系統光碟:WinPE (http://www.microsoft.com/taiwan/business/licensing/programs/sa/benefits/winpe.mspx)或是BartPE(http://www.nu2.nu/pebuilder/)
[12] 自動啟動註冊碼:惡意程式最常修改系統的哪些地方 (http://malware-test.com/smf/index.php?topic=1117.0)
- Jan 07 Sun 2007 09:45
如何辦識系統上有沒有惡意程式或間諜軟體(上)
從許多討論區中得知,很多人都一直重複再問的問題 – 如何辦識系統上有沒有惡意程式或間諜軟體和如何清除系統上的惡意程式或間諜軟體。這一篇文章中,我會以很簡單的方式來說明如何辦識系統上有沒有惡意程式或間諜軟體,在另一篇文章中,我也會以同樣的方式說明如何清除系統上的惡意程式或間諜軟體。
< 十種必備的檢測與防護工具>
如果你想要辨識系統上有沒有惡意程式或間諜軟體(從這之後,皆通稱為惡意程式),你必須要熟悉下面幾個工具,在這裡,我只會以簡單的方式來說明(以後,會再說其他的文章,詳細說明它們的使用方法)和以圖表的方式來表示:
1. 防毒軟體(AntiVirus Software)或反間諜軟體(AntiSpyware Software):如果防毒軟體或反間諜軟體可以偵測到惡意程式,而且,你沒有其他的疑慮的話,你就不需要使用其他工具。在這裡要特別強調一點,現在新版的防毒軟體幾乎都已經整合反間諜軟體的功能,而反間諜軟體也紛紛整合防毒軟體的功能。
2. 檔案完整性檢測工具(File Integrity Checking Tool):這個工具是要檢測檔案是否已經遭到竄改。在一個上線系統(Online System)上,有時候會因為惡意程式使用一些特別的技術,使得它可能會失效,所以,有時候我們會在離線系統(Offline System)上使用它。在使用這個工具之前,你必須已經做好一份系統檔案完整性列表,否則,這個工具就不能發揮功效。比較常使用的工具是MD5。
3. 執行程序分析工具(Running Process Analysis Tool):這個工具是要即時查看系統上有那些正在執行程序。如果你覺得有一些執行程序很可疑的話,你可以利用搜尋引擎查看網路上的相關訊息。使用這個工具要注意的是它不能看到隱藏行為(Rootkit)的執行程序。比較常使用的工具是SysInternals的Process Explorer。
4. 註冊碼監控工具(Registry Monitor Tool):這個工具是要查看系統上註冊碼的變化。使用這個工具要注意的是它不能看到隱藏行為(Rootkit)的註冊碼。比較常使用的工具是SysInternals的Registry Monitor。
5. 自動執行檢測工具 (AutoRun or AutoStart Checking Tool):這個工具是要檢測系統上有哪些地方可以使應用程式自動執行起來。比較常使用的工具是SysInternals的AutoRuns。
6. 檔案監控工具(File Monitor Tool):這個工具是要即時查看系統上檔案的變化。使用這個工具要注意的是它不能看到隱藏行為的檔案存取。比較常使用的工具是SysInternals的File Monitor。
7. 服務埠監控工具(Port Monitor Tool):這個工具是要查看系統上服務埠開啟的狀態,以研判是系統上是否有惡意程式或間諜軟體。使用這個工具要注意的是它不能看到隱藏行為的服務埠狀態。比較常使用的工具是微軟提供的內建命令netstat或是SysInternals的TCPView。
(待續)-----
