網際論壇 - 軟體中文化交流區 - [安全防護]StreamArmor v1.0.0.1 中文版 (ADS 掃瞄工具)
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

作者:
標題: [安全防護]StreamArmor v1.0.0.1 中文版 (ADS 掃瞄工具) 上一主題 | 下一主題
  wellsss
  資深會員 
 


  積分 4338
  發文 709
  註冊 2006-5-5
  狀態 離線
#1  [安全防護]StreamArmor v1.0.0.1 中文版 (ADS 掃瞄工具)

【軟體名稱】:StreamArmor v1.0.0.1 中文版
【官方網站】:http://rootkitanalytics.com/userland/streamarmor.php
【使用介面】:繁體中文版
【軟體分類】:資訊安全
【軟體性質】:ADS 探測免費軟體
【檔案大小】:981 KB (1,004,889 位元組)
【軟體說明】:



近期在這個網站找到了一個滿不錯的工具;
這幾天就是有空都在玩這軟體,發現還挺不錯用的,唯一缺點就是掃瞄速度不快,但它
可以幫您將於 ADS 內的檔案資料帶出來,說真的,要我用 DOS 指令去做這事情我還
不會,軟體工具還是最快最省力的方法。

以下是此軟體之官網:[url]
http://rootkitanalytics.com/userland/streamarmor.php[/url]

關於 ADS 是什麼?
在前篇我就有略過一提:
【...】所謂免費的隱藏資料檔案軟體,跟本就...
所以這個工具正好就是為了處理、應對 ADS 資料流而生的。
這軟體完全免費,我找來找去似乎就只有找到這一款視覺化又好看的 ADS 安全工具,
此軟體之定位係以輔助防毒軟體及資料安全的角度而出發,所以對於 Alternate Data Streams
之觀念會分為三種:

1.危險│只要被分析出為 EXE、COM、DLL、MSI、CLASS 等都是
2.可疑│只要是影像、音效、圖片、媒體檔 等或格式不明,但仍可從副檔名及內容判斷均為可疑項
3.待分析│這邊主要就是格式不明無法分析的檔案必須進一步分析

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++=
心得:
下篇會介紹。


主程式 SHA-1:3995A2099AF00AA5DB92E69A5D5326AEFC5D740A
壓縮包 SHA-1:34C7297F5B8F8FA3C4A43C38A015CC841D13FF3C
(XUN6):

(sendspace):


2010-8-6 09:45 PM
查看資料  發短消息   編輯文章  引用回覆
  wellsss
  資深會員 
 


  積分 4338
  發文 709
  註冊 2006-5-5
  狀態 離線
#2  

圖中的檔案是我自己崁進 ADS 做出來的,不過請注意內含 ADS 資料的檔案僅能在 NTFS 檔案系統內做搬移
也不能做壓縮、或上傳至免空之動作,否則解壓縮或下載回來後檔案內的 ADS 資料必定會遺失
如果你要將內含 ADS 的檔案搬移到一個 FAT/FAT32 等非 NTFS 檔案系統之格式儲存媒體,那就會跳出如下的對話框:


這邊就順帶一提介紹一下這軟體掃到 ADS 後的處理方式好了:
1) 這是我自己 DIY 了四份依序為 XueTr.exe (1.38 MB)、GOOGLE.FLV (11.3 MB)、MM.EXE (310 KB)、ADS.TXT (34 位元組)


在將四份達 13.0 MB 崁進 "手機電話號碼算命.xls" 的 ADS 後,大小及外觀完全沒有任何改變,一樣還是 30.5 KB

2) 崁進後 StreamArmor 掃出資訊如下:


這邊直接利用此工具針對 XueTr、MM.EXE 線上掃瞄如下,點下後開啟網站,不用點按按鈕 (但它不穩定會當掉跳出):
●這個動作就是直接到
http://www.virustotal.com/zh-tw/buscaHash.html 頁上以 MD5 碼直接搜尋得到的結果。

3) 在軟體右下方有個「選項」,您僅需要注意看要一次送三家還是一家做 Online 檢查就好:
1.最左(預設) 為推薦選項,一般這個即可 2. ThreatExpert 這個較適合進階者看 3.狀態不明,目前官網主機維護中?


這邊可得到結果,最右邊的網站可能是程式設計瑕疵,無法開啟:
XueTr:http://www.virustotal.com/analis ... 4a76f16e-1280713270
ThreatExpert:無報告
MM.EXE:http://www.virustotal.com/analis ... 07bd6f3c-1280994124
ThreatExpert:http://www.threatexpert.com/repo ... 574ad4d0b7b7051c513

4) 然後我說明一下此軟體左下「儲存」之用途,掃瞄找到檔案後可點一下將它匯出:

得到之檔案可見步驟一之圖示。

5)如上圖,點選右邊的「刪除」不會把本體檔案砍除,而是僅移除 ADS 資料,SO 請放心按下吧!

6) 通用選項之說明:


7) 如果掃出的檔案很多很長,可以選擇將報告匯出,我極不建議 ADS 用此軟體處理,
它不能批次處理檔案,要一個個砍除,很累又沒效率,建議可以用 EFIX 或 COMBOFIX 的腳
本指令一次清除比較快:
(BTW:此 HTML 報告不論是語系還是字型內容、報告名稱我都弄好了,直接以 UTF-8 顯示中文會有亂碼)

→ 預設之報告名稱為:資料串掃瞄結果報告.html


這是此程式開發之日期:27th Mar 2010 (2010年5月27日)
V1.0.0.1 中文化日期:2010年8月5日l


8) 這邊我就簡單介紹一下用 COMBOFIX、EFIX 清除 ADS 資料的方法:

請注意,檔案路徑依掃瞄結果而定,請勿自行亂加亂試,否則把系統弄出問題恕本人不負責。


Combofix:
1.首先不包括虛線 Copy 以下指令,然後將之貼上記事本存成「CFScript.txt」再拖到 combofix 圖示上即可:
-----------------------------------
ADS::
C:\WINDOWS\SYSTEM32\CMD.EXE
-----------------------------------


2.靜待 Combofix 完成掃瞄及清除動作

++++++++++++++++++++++++++++++++++++++++++++

Efix:

1.首先不包括虛線 Copy 以下指令,然後選「自訂腳本」後貼上內容點「開始」即可:
-----------------------------------
CLEAN ADS::
C:\WINDOWS\SYSTEM32\CMD.EXE
-----------------------------------


2.靜待 Efix 完成掃瞄及清除動作

----------------------------------------------------------

註:關於 ADS 的資料,有興趣者可以到以下網站「就是資安」去查閱,有詳細說明過程及步驟:
簡單的說,它是 NTFS 檔案系統的秘技 (其實就我所知其它檔案系統也具備此功能),且少為人知,
可以在一個簡單的檔案中崁入另一個檔案或資訊,別說是一般的 EXPLORER 看不到,甚至是防毒軟
體也不會偵測出來。目前可以探知 ADS 的軟體就 Icesword、XueTr 等幾個核心層級工具,至於主流除
毒清理工具有 EFix、Combofix、HijackThis 等。
1) http://blog.chweng.idv.tw/archives/275
2) http://cyrilwang.blogspot.com/2009/06/alternate-data-streams.html
3) http://cyrilwang.blogspot.com/20 ... ata-streams_18.html


Flash: http://www.youtube.com/watch?v=GzmwOvukm6E&feature=player_embedded

[ Last edited by wellsss on 2010-8-6 at 10:01 PM ]


2010-8-6 09:47 PM
查看資料  發短消息   編輯文章  引用回覆
  spderek
  基本會員 
 



  積分 184
  發文 53
  註冊 2009-10-27
  狀態 離線
#3  

第一次看到有這種掃秒軟體
不但只有981KB 還有大大認真的教學
非常感謝辛苦之分享




 下載不回 有問無回   
2010-8-8 12:24 PM
查看資料  發短消息   編輯文章  引用回覆
  danfong
  高級會員 
 


  積分 9945
  發文 584
  註冊 2007-8-15
  狀態 離線
#4  

wellsss 大大又出巨作了,相當實用,而且還有教學,真的是太受用了。

2010-8-8 03:23 PM
查看資料  發短消息   編輯文章  引用回覆
  破魂者
  基本會員 
 



  積分 69
  發文 22
  註冊 2010-7-11
  狀態 離線
#5  

謝謝大大分享  還附教學真好

2010-8-8 06:03 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  wellsss
  資深會員 
 


  積分 4338
  發文 709
  註冊 2006-5-5
  狀態 離線
#6  



  Quote:
Originally posted by spderek at 2010-8-8 12:24 PM:
第一次看到有這種掃秒軟體
不但只有981KB 還有大大認真的教學

是掃'瞄'軟體喔。
我想往後翻譯新的軟體,如果操作及性質複雜一些,會先在個人 blog 發表教學文。
然後將此軟體轉貼於此,謝謝您的推文 ^^

  Quote:
Originally posted by danfong at 2010-8-8 03:23 PM:
wellsss 大大又出巨作了,相當實用,而且還有教學,真的是太受用了。

什麼 '鉅作' 阿!?這軟體才不到 3M,雖然在 ASCII 有很多的字串,但我仔細分析了一下
確定那些是不用翻譯的,可能是軟體採用的編寫語言不同。
雖然說起來算是小咖的軟體,要翻的字串也沒想像少。
你的工廠不是破百MB嗎,那是好東西

  Quote:
Originally posted by 破魂者 at 2010-8-8 06:03 PM:
謝謝大大分享  還附教學真好

安安您好,別拍馬屁了 XD 謝謝






2010-8-9 09:28 AM
查看資料  發短消息   編輯文章  引用回覆
  danfong
  高級會員 
 


  積分 9945
  發文 584
  註冊 2007-8-15
  狀態 離線
#7  

wellsss 大大能否 PM 小弟提供您的 Blog,讓小弟能夠嘗鮮一下呢?

2010-8-9 02:11 PM
查看資料  發短消息   編輯文章  引用回覆
  tenhon
  資深會員 
 


  積分 3760
  發文 632
  註冊 2006-11-13
  狀態 離線
#8  

把相關網站的資料讀了一遍....呼!還蠻累人的...
wellsss 大總是會推出令人想收藏的好物,還能多學點東西....多謝囉!

  Quote:
Originally posted by danfong at 2010-8-9 02:11 PM:
wellsss 大大能否 PM 小弟提供您的 Blog,讓小弟能夠嘗鮮一下呢?

直接以"wellsss"問Google就會告訴你喔...




現在才發現 Opera 真的很好用!!!
2010-8-10 11:36 PM
查看資料  發短消息   編輯文章  引用回覆

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: