標題:
[安全防護]StreamArmor v1.0.0.1 中文版 (ADS 掃瞄工具)
[打印本頁]
作者:
wellsss
時間:
2010-8-6 09:45 PM
標題:
[安全防護]StreamArmor v1.0.0.1 中文版 (ADS 掃瞄工具)
【軟體名稱】:StreamArmor v1.0.0.1 中文版
【官方網站】:
http://rootkitanalytics.com/userland/streamarmor.php
【使用介面】:繁體中文版
【軟體分類】:資訊安全
【軟體性質】:ADS 探測免費軟體
【檔案大小】:981 KB (1,004,889 位元組)
【軟體說明】:
近期在這個網站找到了一個滿不錯的工具;
這幾天就是有空都在玩這軟體,發現還挺不錯用的,唯一缺點就是掃瞄速度不快,但它
可以幫您將於 ADS 內的檔案資料帶出來,說真的,要我用 DOS 指令去做這事情我還
不會,軟體工具還是最快最省力的方法。
以下是此軟體之官網:[url]
http://rootkitanalytics.com/userland/streamarmor.php
[/url]
關於 ADS 是什麼?
在前篇我就有略過一提:
【...】所謂免費的隱藏資料檔案軟體,跟本就...
所以這個工具正好就是為了處理、應對 ADS 資料流而生的。
這軟體完全免費,我找來找去似乎就只有找到這一款視覺化又好看的 ADS 安全工具,
此軟體之定位係以輔助防毒軟體及資料安全的角度而出發,所以對於 Alternate Data Streams
之觀念會分為三種:
1.
危險
│只要被分析出為 EXE、COM、DLL、MSI、CLASS 等都是
2.
可疑
│只要是影像、音效、圖片、媒體檔 等或格式不明,但仍可從副檔名及內容判斷均為可疑項
3.
待分析
│這邊主要就是格式不明無法分析的檔案必須進一步分析
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++=
心得:
下篇會介紹。
主程式 SHA-1:3995A2099AF00AA5DB92E69A5D5326AEFC5D740A
壓縮包 SHA-1:34C7297F5B8F8FA3C4A43C38A015CC841D13FF3C
(XUN6):
(sendspace):
作者:
wellsss
時間:
2010-8-6 09:47 PM
圖中的檔案是我自己崁進 ADS 做出來的,
不過請注意
,
內含 ADS 資料的檔案僅能在 NTFS 檔案系統內做搬移
,
也不能做壓縮、或上傳至免空之動作,否則解壓縮或下載回來後檔案內的 ADS 資料必定會遺失
如果你要將內含 ADS 的檔案搬移到一個 FAT/FAT32 等非 NTFS 檔案系統之格式儲存媒體,那就會跳出如下的對話框:
這邊就順帶一提介紹一下這軟體掃到 ADS 後的處理方式好了:
1) 這是我自己 DIY 了四份依序為 XueTr.exe (1.38 MB)、GOOGLE.FLV (11.3 MB)、MM.EXE (310 KB)、ADS.TXT (34 位元組)
在將四份達
13.0 MB
崁進
"手機電話號碼算命.xls" 的 ADS 後
,大小及外觀完全沒有任何改變,一樣還是
30.5 KB
2) 崁進後 StreamArmor 掃出資訊如下:
這邊直接利用此工具針對 XueTr、MM.EXE 線上掃瞄如下,點下後開啟網站,不用點按按鈕 (但它不穩定會當掉跳出):
●這個動作就是直接到
http://www.virustotal.com/zh-tw/buscaHash.html
頁上以 MD5 碼直接搜尋得到的結果。
3) 在軟體右下方有個「選項」,您僅需要注意看要一次送三家還是一家做 Online 檢查就好:
1.最左(預設) 為推薦選項,一般這個即可 2. ThreatExpert 這個較適合進階者看 3.狀態不明,目前官網主機維護中?
這邊可得到結果,最右邊的網站可能是程式設計瑕疵,無法開啟:
XueTr:
http://www.virustotal.com/analis ... 4a76f16e-1280713270
ThreatExpert:無報告
MM.EXE:
http://www.virustotal.com/analis ... 07bd6f3c-1280994124
ThreatExpert:
http://www.threatexpert.com/repo ... 574ad4d0b7b7051c513
4) 然後我說明一下此軟體左下「儲存」之用途,掃瞄找到檔案後可點一下將它匯出:
得到之檔案可見步驟一之圖示。
5)如上圖,點選右邊的
「刪除」
不會把本體檔案砍除,而是僅移除 ADS 資料
,SO 請放心按下吧!
6) 通用選項之說明:
7) 如果掃出的檔案很多很長,可以選擇將
報告匯出
,我極不建議 ADS 用此軟體處理,
它不能批次處理檔案,要一個個砍除,很累又沒效率,建議可以用 EFIX 或 COMBOFIX 的腳
本指令一次清除比較快:
(BTW:此 HTML 報告不論是語系還是字型內容、報告名稱我都弄好了,直接以 UTF-8 顯示中文會有亂碼)
→ 預設之報告名稱為:
資料串掃瞄結果報告.html
這是此程式開發之日期:27th Mar 2010 (2010年5月27日)
V1.0.0.1 中文化日期:2010年8月5日l
8) 這邊我就簡單介紹一下用 COMBOFIX、EFIX 清除 ADS 資料的方法:
請注意,檔案路徑依
掃瞄結果
而定,請勿自行亂加亂試,否則把系統弄出問題恕本人不負責。
Combofix:
1.首先不包括虛線 Copy 以下指令,然後將之貼上記事本存成「CFScript.txt」再拖到 combofix 圖示上即可:
-----------------------------------
ADS::
C:\WINDOWS\SYSTEM32\CMD.EXE
-----------------------------------
2.靜待
Combofix 完成掃瞄及清除動作
。
++++++++++++++++++++++++++++++++++++++++++++
Efix:
1.首先不包括虛線 Copy 以下指令,然後選「自訂腳本」後貼上內容點「開始」即可:
-----------------------------------
CLEAN ADS::
C:\WINDOWS\SYSTEM32\CMD.EXE
-----------------------------------
2.靜待
Efix 完成掃瞄及清除動作
。
----------------------------------------------------------
註:關於 ADS 的資料,有興趣者可以到以下網站「就是資安」去查閱,有詳細說明過程及步驟:
簡單的說,它是
NTFS 檔案系統的秘技
(其實就我所知其它檔案系統也具備此功能),且少為人知,
可以在一個簡單的檔案中崁入另一個檔案或資訊,別說是一般的 EXPLORER 看不到,甚至是防毒軟
體也不會偵測出來。目前可以探知 ADS 的軟體就 Icesword、XueTr 等幾個核心層級工具,至於主流除
毒清理工具有 EFix、Combofix、HijackThis 等。
1)
http://blog.chweng.idv.tw/archives/275
2)
http://cyrilwang.blogspot.com/2009/06/alternate-data-streams.html
3)
http://cyrilwang.blogspot.com/20 ... ata-streams_18.html
Flash: http://www.youtube.com/watch?v=GzmwOvukm6E&feature=player_embedded
[
Last edited by wellsss on 2010-8-6 at 10:01 PM
]
作者:
spderek
時間:
2010-8-8 12:24 PM
第一次看到有這種掃秒軟體
不但只有981KB 還有大大認真的教學
非常感謝辛苦之分享
作者:
danfong
時間:
2010-8-8 03:23 PM
wellsss 大大又出巨作了,相當實用,而且還有教學,真的是太受用了。
作者:
破魂者
時間:
2010-8-8 06:03 PM
謝謝大大分享 還附教學真好
作者:
wellsss
時間:
2010-8-9 09:28 AM
Quote:
Originally posted by
spderek
at 2010-8-8 12:24 PM:
第一次看到有這種掃秒軟體
不但只有981KB 還有大大認真的教學
是掃'瞄'軟體喔。
我想往後翻譯新的軟體,如果操作及性質複雜一些,會先在個人 blog 發表教學文。
然後將此軟體轉貼於此,謝謝您的推文 ^^
Quote:
Originally posted by
danfong
at 2010-8-8 03:23 PM:
wellsss 大大又出巨作了,相當實用,而且還有教學,真的是太受用了。
什麼 '鉅作' 阿!?這軟體才不到 3M,雖然在 ASCII 有很多的字串,但我仔細分析了一下
確定那些是不用翻譯的,可能是軟體採用的編寫語言不同。
雖然說起來算是小咖的軟體,要翻的字串也沒想像少。
你的工廠不是破百MB嗎,那是好東西
Quote:
Originally posted by
破魂者
at 2010-8-8 06:03 PM:
謝謝大大分享 還附教學真好
安安您好,別拍馬屁了 XD 謝謝
作者:
danfong
時間:
2010-8-9 02:11 PM
wellsss 大大能否 PM 小弟提供您的 Blog,讓小弟能夠嘗鮮一下呢?
作者:
tenhon
時間:
2010-8-10 11:36 PM
把相關網站的資料讀了一遍....呼!還蠻累人的...
wellsss 大總是會推出令人想收藏的好物,還能多學點東西....多謝囉!
Quote:
Originally posted by
danfong
at 2010-8-9 02:11 PM:
wellsss 大大能否 PM 小弟提供您的 Blog,讓小弟能夠嘗鮮一下呢?
直接以"wellsss"問Google就會告訴你喔...
歡迎光臨 網際論壇 (http://centurys.net/)
Powered by Discuz! 2.5