close
從許多討論區中得知,很多人都一直重複再問的問題 – 如何辦識系統上有沒有惡意程式或間諜軟體和如何清除系統上的惡意程式或間諜軟體。這一篇文章中,我會以很簡單的方式來說明如何辦識系統上有沒有惡意程式或間諜軟體,在另一篇文章中,我也會以同樣的方式說明如何清除系統上的惡意程式或間諜軟體。
< 十種必備的檢測與防護工具>
如果你想要辨識系統上有沒有惡意程式或間諜軟體(從這之後,皆通稱為惡意程式),你必須要熟悉下面幾個工具,在這裡,我只會以簡單的方式來說明(以後,會再說其他的文章,詳細說明它們的使用方法)和以圖表的方式來表示:
1. 防毒軟體(AntiVirus Software)或反間諜軟體(AntiSpyware Software):如果防毒軟體或反間諜軟體可以偵測到惡意程式,而且,你沒有其他的疑慮的話,你就不需要使用其他工具。在這裡要特別強調一點,現在新版的防毒軟體幾乎都已經整合反間諜軟體的功能,而反間諜軟體也紛紛整合防毒軟體的功能。
2. 檔案完整性檢測工具(File Integrity Checking Tool):這個工具是要檢測檔案是否已經遭到竄改。在一個上線系統(Online System)上,有時候會因為惡意程式使用一些特別的技術,使得它可能會失效,所以,有時候我們會在離線系統(Offline System)上使用它。在使用這個工具之前,你必須已經做好一份系統檔案完整性列表,否則,這個工具就不能發揮功效。比較常使用的工具是MD5。
3. 執行程序分析工具(Running Process Analysis Tool):這個工具是要即時查看系統上有那些正在執行程序。如果你覺得有一些執行程序很可疑的話,你可以利用搜尋引擎查看網路上的相關訊息。使用這個工具要注意的是它不能看到隱藏行為(Rootkit)的執行程序。比較常使用的工具是SysInternals的Process Explorer。
4. 註冊碼監控工具(Registry Monitor Tool):這個工具是要查看系統上註冊碼的變化。使用這個工具要注意的是它不能看到隱藏行為(Rootkit)的註冊碼。比較常使用的工具是SysInternals的Registry Monitor。
5. 自動執行檢測工具 (AutoRun or AutoStart Checking Tool):這個工具是要檢測系統上有哪些地方可以使應用程式自動執行起來。比較常使用的工具是SysInternals的AutoRuns。
6. 檔案監控工具(File Monitor Tool):這個工具是要即時查看系統上檔案的變化。使用這個工具要注意的是它不能看到隱藏行為的檔案存取。比較常使用的工具是SysInternals的File Monitor。
7. 服務埠監控工具(Port Monitor Tool):這個工具是要查看系統上服務埠開啟的狀態,以研判是系統上是否有惡意程式或間諜軟體。使用這個工具要注意的是它不能看到隱藏行為的服務埠狀態。比較常使用的工具是微軟提供的內建命令netstat或是SysInternals的TCPView。
(待續)-----
全站熱搜
留言列表
