標題:
[安全防護] StreamArmor v1.1 - 掃瞄並清除惡意資料流
[打印本頁]
作者:
danfong
時間:
2010-11-13 03:31 PM
標題:
[安全防護] StreamArmor v1.1 - 掃瞄並清除惡意資料流
【檔案名稱】:StreamArmor v1.1 - 掃瞄並清除惡意資料流
【檔案大小】:1.23 MB(解壓後)
【檔案格式】:EXE
【作業系統】:Windows XP / Vista / 7
【官方網站】:
http://rootkitanalytics.com/
【語言種類】:正體中文
【正體中文編譯】:
丹楓 Danfong-虫二電氣診所
【檔案簡介】:
StreamArmor 是複雜的工具,用於發現隱藏替代資料流(ADS)以及從系統將它們完全清除。StreamArmor 是一個使用簡單但有效的工具,其可以掃瞄並清除隱藏替代資料流。加上線上威脅的核對機制以及先進的自動分析使其成為最佳的工具可以在市場上剷除邪惡的資料流。
它配備有快速的多執行緒 ADS(替代資料流)掃瞄程式,可以以遞迴方式在整個系統上掃瞄,並迅速找出所有隱藏的資料流。所有這些發現的資料流表示使用特定的顏色代表威脅層級,其使人很容易用肉眼來辨別可疑和正常資料流。
它有一個內建的進階檔案類型偵測機制,可檢查檔案內容來準確地偵測出資料流的檔案類型。因而能讓它在替代資料流內發現隱藏的文件檔/圖像/音訊/視訊/資料庫/壓縮檔。StreamArmor 是獨立的,可攜式應用程式而不需要任何安裝。
什麼是替代資料流(ADS)?
替代資料流(ADS) 是 Windows NTFS 檔案系統鮮為人知的功能,其提供了將資料放入現有的檔案和資料夾,而不會影響其功能和大小的能力。
透過傳統公用程式如:Windows 檔案總管或 DIR 命令或任何其他檔案瀏覽器工具檢視時看不到與檔案/資料夾相關聯的任何此類資料流。它被 Windows 和其他應用程式合法使用來儲存檔案的額外資訊(例如摘要資訊)。
由於此替代資料流(ADS)具有隱蔽性,駭客一直利用此方法,秘密地在受感染的系統上儲存其 Rootkit 元件,而不被偵測到。例如,名為
'Mailbot.AZ' 又稱 'Backdoor.Rustock.A' 聲名狼籍的 Rootkit,用來隱藏其驅動程式檔案到 system32 資料夾(C:\Windows\system32)作為資料流 '18467'。
總之,ADS 提供了簡單的方法來暗中儲存惡意內容,以及可以直接執行它而不被察覺。只有先進的工具,如 StreamArmor 有能力發現和摧毀這些隱藏的惡意資料流。
StreamArmor 的功能
* 快速、多執行緒 ADS 掃瞄程式迅速和以遞迴方式掃瞄整台電腦或磁碟或只是一個資料夾。
* 「快照檢視」快速識別選取的資料流和更快的手動分析。
* 選項為 [忽略所有已知的資料流] 和 [忽略大小為零的資料流] 將自動忽略所有已知的資料流(例如:Zone.Identifier)和大小為零的資料流,從而大大節省從事手動分析的時間和精力。
* 先進的資料流檔案類型偵測,其分析檔案的內部內容來偵測真實的檔案類型而不是只會按照檔案副檔名來偵測。
下面為 StreamArmor 可偵測到的一些主要的檔案類型分類
+ 可執行檔類型(EXE, DLL, SYS, COM, MSI, CLASS)
+ 壓縮檔案類型(ZIP, RAR, TAR, GZ, COM)
+ 音訊檔案類型(MP3, WAV, RA, RM, WMA, M3U)
+ 視訊檔案類型(WMV, AVI, MPEG, MP4, SWF, DIVX, FLV, DAT, VOB, MOV)
+ 資料庫類型(MS ACCESS)
+ 文件類型(PDF, XML, DOC, RTF, All MS Office old & new formats)
* 強大的「自動威脅分析」:基於啟發式技術識別已發現的資料流中的異常。
* 「線上威脅核對」使用下列線上網站來檢查任何可疑資料流是否存在病毒或 Rootkit。
+ VirusTotal (
www.VirusTotal.com
)
+ ThreatExpert (
www.ThreatExpert.com
)
+ MalwareHash (
www.MalwareHash.com
)
* 使用特定的顏色代表威脅層級,其使人很容易用肉眼來辨別可疑和正常資料流。
* 在掃瞄過程中發現的資料流平行分析,讓使用者可以立即開始分析,而無需等待整個掃瞄操作完成。
* 使用配置協力廠商應用程式來檢視選取的資料流的整個內容。事實上,使用者可以對正常和可執行的資料流檔案設定不同的應用程式。
* 將選取的資料流檔案內容儲存到磁碟、 USB 磁碟機或 DVD 作進一步分析。
* 將選取的替代資料流從其基底檔案或資料夾刪除。
* 在如 VMWare 虛擬環境中執行/運行所選可執行的資料流檔案來分析其惡意性質。
* 透過調整 ADS 掃瞄執行緒計數的動態性能調整機制[僅適用於進階使用者]。
* 根據其名稱/威脅層級/內容類型/大小來排列已掃瞄的資料流。
* 將整個已發現的資料流清單以 HTML 格式匯出到磁碟檔案供離線分析。
壓縮檔上傳 VirusTotal 掃瞄結果(少數防毒軟體報毒乃加殼所致)如下:
http://goo.gl/w1pr8
若有新版本發行,請在論壇發短訊(短消息)或部落格留言告知以便儘速翻譯更新成正體中文化版本。
Ziddu 載點:
解壓密碼:
CODE:
[Copy to clipboard]
Danfong@Hsieh
作者:
e722146
時間:
2010-11-15 09:37 PM
掃瞄並清除惡意資料!
一套超棒的工具!
趕緊下載安裝試試!
作者:
達人奇兵
時間:
2010-11-15 10:58 PM
對我來講此工具使用上好像還滿難的
不過還是要下載測試
作者:
PeterWu1
時間:
2010-11-25 09:42 AM
很棒的工具!
謝謝您的分享!
歡迎光臨 網際論壇 (http://centurys.net/)
Powered by Discuz! 2.5