網際論壇 - 寬頻使用 / 防毒防駭討論 - [資訊教學] 利用Autoruns,輕鬆判斷是否中毒,輕鬆DIY清除木馬(轉)
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

<<  [1] [2]  >>
作者:
標題: [資訊教學] 利用Autoruns,輕鬆判斷是否中毒,輕鬆DIY清除木馬(轉) 上一主題 | 下一主題
  鐵漢柔情
  進階會員 
 


  積分 1990
  發文 76
  註冊 2006-2-27
  狀態 離線
#1  [資訊教學] 利用Autoruns,輕鬆判斷是否中毒,輕鬆DIY清除木馬(轉)

[資訊教學] 利用Autoruns,輕鬆判斷是否中毒,輕鬆DIY清除木馬。

利用Autoruns,輕鬆判斷是否中毒,輕鬆DIY清除木馬。

一.前言。

◣文章瀏覽最佳解析度:1280*1024

Autoruns是一款由Microsoft所推出的工具,擁有不遜於SREng的報表能力,有些部份甚至贏過SREng。
與SREng不同的是,Autoruns可以方便快速的檢查啟動項,我認為很適合一般用戶自行檢查是否有中毒。

詳細理論部份,就不詳提了,有興趣請見官方。
http://www.microsoft.com/technet ... ities/Autoruns.mspx

Autoruns下載點:
http://download.sysinternals.com/Files/Autoruns.zip

▲近來有很多惡意程式會利用IFEO(映像挾持)造成工具無法開啟,若Autoruns不能運行,請自行更換名稱、副檔名。
▲任何工具都是兩面刀,操作請務必小心謹慎!



Autoruns適用處理範圍:木馬、間諜、廣告、後門、大致上全部都可以處理,不過有部份會進行檔案感染的蠕蟲就無法 簡單的使用工具處理了。




二.木馬基礎概念。

防毒軟體偵測到木馬,但是卻刪不掉,或者刪除過後又再生,這因該很多人都碰過,也是許多人的夢魘。
究竟為什麼會造成這個原因呢?

一隻完整的木馬,通常不會只有一個檔案,它會利用各種手動想辦法不要被刪除,於是產生很多生成物,這些生成物之前彼此保護,防毒軟體通常都沒砍乾淨,甚至連偵測到都沒有,這就是所謂「斬草不除根,春風吹又生」,要徹底清除木馬,得砍掉他最重要的啟動程式。

木馬也只是個普通的程式,若沒特殊條件進行啟動,根本無法運作,且最常利用的方式就是註冊表(登錄檔),但是那麼繁雜混亂的登錄檔,一般人根本無從判斷起,也絲毫沒有頭緒,這時候就該借助工具了,Autoruns就是一款操作簡單,判斷容易的安全軟件,足以讓您DIY清除木馬。





三.自動判定啟動項、產生Log。

當檔案下載完成,且解壓縮之後,雙擊兩下"autoruns.exe"程式就會啟動了。







這就是這款軟體為什麼可以簡單判斷註冊表的原因了。




透過連接Microsoft資料庫,且自動隱藏驗證過的Microsoft物件,達到大幅度簡化Log效果。




各位可以與沒經過驗證、隱藏的Log比較看看,精簡了非常非常多。




接下來進行輸出Log的動作,方便日後運用。




接著請輸出(Save)Log,一來有需要時可提供給版上大大判讀,二來需要有Log才能使用Autoruns經典功能之一。








四.啟動項的判斷。

判斷啟動項有兩種方法,一種是節省時間,也較為方便的方法,不過還是得靠一點經驗。


方法(1).網路搜尋資料。









方法(2).VT判讀法。 (VT網址:http://www.virustotal.com/en/virustotalf.html)
稍微簡介一下VT,VT就是一個專門提供掃描服務的網站,內含有非常多種防毒引擎,也就是說您可以一次使用數十種防毒軟體來檢查這個檔案。



▲由於很多檔案會以「隱藏檔」、「作業系統檔」的形式存在,所以請先行修改資料夾選項,否則可能會無法找到檔案。
  修改資料夾選項的步驟大致如下,由於操作簡單,就不用太多圖片說明,改用文字說明呈現。

  ①點選「我的電腦」。
  ②工具 > 資料夾選項 。
  ③然後上方選擇到檢視。
  ④之後請見下圖操作。


由於有些檔案屬性是「作業系統檔案」、「隱藏檔」,所以需要修改資料夾選項才可看見,請照圖操作。

修改過後請自行手動連結到VT。
(VT網址:http://www.virustotal.com/en/virustotalf.html)





















若自己不敢確定,可以嘗試回報防毒軟體公司,或者請其他大大協助判斷、回報。







五.威脅處理。

要清理一隻木馬要分兩個部份,登錄檔(Registry)、實體檔案。
Autoruns只能處理登錄檔,實體檔案部份請自行運用工具處理,只要是能刪除檔案的工具都可以,沒了啟動項,木馬不過就是破銅爛鐵。




當確認有威脅,且刪除登錄檔過後,請重新啟動一次電腦,在刪除實體檔案,確保操作期間不會受到干擾。
若手動還是刪除不了,可以運用一下刪除工具,這種工具各位因該都多少會幾款,就不詳細說明了。
可運用之刪除的工具有(Unlocker、KillBox、費爾木馬強力清除助手、Icesword、Gmer、等等等...。)


◣建議清除步驟簡述。

步驟一.請先準備相關會應用到的工具。 EX:(Unlocker、KillBox、費爾木馬強力清除助手,隨便選一款自己會用的就好。)

步驟二.關閉系統還原、清空IE暫存檔。

步驟三.進入安全模式。

步驟四.啟動「Autoruns」,照上圖說明刪除登錄檔。

步驟六.請再度重新開機,且再度進入安全模式。

步驟七.使用刪除工具,對實體檔案進行刪除。
◣備註:可能得修改資料夾選項才看的到檔案,如何修改資料夾選項在文中有提到,請自行查看。


P.S 清除方法有很多種,以上是個人推薦之清除方案。
    還是強調,工具操作請謹慎小心。








六.在未來懷疑中毒?自己DIY比對Log!

這就是為何麼推廣此軟件的原因了,可以進行「前後比對」,當未來某一天您懷疑有中木馬時,可以輸出Log進行比對。

▲Options設定部份請不要進行任何修改,保持「核對微軟資料庫、隱藏驗證過的微軟程式」的設置,以免造成一些混亂狀況發生。











七.結論。

這款軟件我早就想推廣了,自行檢查啟動項,及未來當作比對用途,都非常方便,也非常適合一般大眾。
剛好碰到端午連續假期,花了兩天的時間編輯完成,由於進度匆忙,若發現有錯誤煩請指正。

為了推廣此工具,歡迎各位自由轉載。

[ Last edited by 鐵漢柔情 on 2007-7-27 at 06:02 PM ]




回帖是最好的鼓勵
2007-7-27 05:38 PM
查看資料  發短消息   編輯文章  引用回覆
  ooba155151
  中級會員 
 



  積分 964
  發文 133
  註冊 2005-9-8
  狀態 離線
#2  

太棒了!!!這真是好東西!!也許大家感覺文章很長很懶...個人建議你花點時間去看他吧!!會有蒐獲的!

2007-8-5 07:33 PM
查看資料  發短消息   編輯文章  引用回覆
  f928006
  該用戶已被刪除  
 



  積分 N/A
  發文 N/A
  註冊 N/A
  狀態 離線
#3  

原來還有這招
謝謝大大的分享 讓小弟又學到一招


2007-8-7 01:57 PM
 編輯文章  引用回覆
  小小柯
  中級會員 
 



  積分 1166
  發文 209
  註冊 2006-4-3
  來自 台灣
  狀態 離線
#4  

謝謝您的分享!好工具與好朋友分享,謝謝!

2007-8-8 05:14 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  samc3
  進階會員 
 


  積分 2239
  發文 542
  註冊 2006-2-18
  來自 台南市
  狀態 離線
#5  

每次使用網路時總會感覺好像被木馬佔用資源
上網速度非常的慢用掃毒軟體也沒用
有這軟體應該可以踢出毒蟲了


2007-8-11 10:28 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  jocky
  中級會員 
 



  積分 1423
  發文 288
  註冊 2005-9-11
  來自 taiwan
  狀態 離線
#6  

原來還有這招
謝謝大大的分享 讓小弟又學到一招
3Q3Q3Q


2007-10-11 01:20 PM
查看資料  發短消息   編輯文章  引用回覆
  alex250
  基本會員 
 



  積分 85
  發文 15
  註冊 2005-12-19
  狀態 離線
#7  

太好了,感謝大大的分享.先收下來了...

2007-10-12 09:13 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  kouger
  基本會員 
 



  積分 122
  發文 20
  註冊 2007-10-13
  狀態 離線
#8  

真是利害,感謝您分享寶貴心得

2007-10-28 04:53 PM
查看資料  發短消息   編輯文章  引用回覆
  spacemouse3
  基本會員 
 


  積分 88
  發文 22
  註冊 2007-11-1
  狀態 離線
#9  

好像不錯~~等等下來試試看~~~要用網路防毒跟解毒一定要有~~~

2007-11-2 11:59 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  apsire3388
  一般會員 
 



  積分 201
  發文 26
  註冊 2006-3-12
  狀態 離線
#10  

感謝分想**********

2007-11-3 10:59 PM
查看資料  發短消息   編輯文章  引用回覆
  xxyy
  中級會員 
 



  積分 1053
  發文 190
  註冊 2006-3-22
  來自 tw
  狀態 離線
#11  

雖然介紹的很冗長,但確很詳細.只要仔細看,就不難能上手DIY去病毒~

謝謝版大這樣子認真詳盡的說明!!


2007-11-4 12:46 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  milk_tea
  基本會員 
 



  積分 43
  發文 8
  註冊 2007-11-30
  來自 Taipei
  狀態 離線
#12  

感謝大大分享智慧結晶,受益良多
我會耐心處理


2007-12-9 04:14 AM
查看資料  發送郵件  訪問主頁  發短消息   編輯文章  引用回覆
  henry3020
  基本會員 
 



  積分 53
  發文 10
  註冊 2007-8-7
  狀態 離線
#13  

感謝大大位我們廣大的電腦用戶族群的貢獻
你的說明圖文並茂
淺顯易懂
是殺人放.....不!
是抵禦外寇的最佳引導
多謝大大不辭辛勞的心意
小弟我就卻之不恭了


2008-5-3 04:03 AM
查看資料  發短消息   編輯文章  引用回覆
  oysj
  基本會員 
 



  積分 9
  發文 2
  註冊 2008-5-22
  狀態 離線
#14  

看起很不錯, 等我電腦用好一定用看看.

2008-6-11 02:06 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  南樂
  進階會員 
 



  積分 1948
  發文 476
  註冊 2005-11-17
  來自 Taiwan
  狀態 離線
#15  

真是一篇好的教學,一直不知道如何使用,直到現在才知道,感謝教導。

2008-6-26 10:33 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  tw.2007
  一般會員 
 



  積分 679
  發文 124
  註冊 2007-9-19
  狀態 離線
#16  

Thanks for the good software and expl.......

2008-7-6 08:32 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  zebrachou
  基本會員 
 



  積分 53
  發文 19
  註冊 2007-9-9
  狀態 離線
#17  

感謝版主如此無私無償的教導 當然是要用心研究與了解在好好的使用 真是太感激您了

2008-7-6 08:43 PM
查看資料  發短消息   編輯文章  引用回覆
  chenyr
  一般會員 
 



  積分 245
  發文 47
  註冊 2005-10-30
  狀態 離線
#18  

謝謝您的分享!
好工具謝謝分享,謝謝!!


2008-7-16 11:35 PM
查看資料  發短消息   編輯文章  引用回覆
  wandl
  基本會員 
 



  積分 20
  發文 6
  註冊 2008-7-7
  狀態 離線
#19  

謝謝您的分享!

2009-1-2 02:25 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  lincon83
  基本會員 
 



  積分 84
  發文 21
  註冊 2008-12-22
  來自 Taipei Taiwan
  狀態 離線
#20  

多謝大大不辭辛勞的心意

Thanks!!


2009-1-2 02:52 PM
查看資料  發短消息   編輯文章  引用回覆
<<  [1] [2]  >>

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: