網際論壇 - 軟體中文化交流區 - [系統安全] Rootkit Unhooker 3.7.300.509
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

<<  [1] [2]  >>
作者:
標題: [系統安全] Rootkit Unhooker 3.7.300.509 上一主題 | 下一主題
  yoyo007
  論壇貴賓 
  菸草撐住的日子


 
  積分 38778
  發文 6170
  註冊 2005-9-10
  來自 滅絕希望的世界
  狀態 離線
#1  [系統安全] Rootkit Unhooker 3.7.300.509

[軟體名稱] Rootkit Unhooker 3.7.300.509
[軟體語言] 繁體中文
[檔案大小] 137 KB (140,530 位元組)
[官方站台] http://rku.nm.ru/
[存放空間] HTTP
[軟體簡介] 免安裝

  Quote:


Rootkit Unhooker 是一款來自俄羅斯的進階 Rootkit 偵測工具,其功能十分強大,包含了 SSDT 掛鉤的偵測與還原,以及隱藏處理序、驅動和檔案的檢查和操作 ...等;主程式僅 93.5 KB,可以在安全模式下使用。要進入安全模式請按 [設定 → 設定 →] 勾選 [使用 [擴充模式] (需要重新開機) ] 即可;此外 Rootkit Unhooker 還可以自訂文字及背景色彩。

中文化說明:

1. 中文化模組取自官方的俄羅斯語言模組 (RkU 3.7.300.506+) 翻譯而成。
2. 切換繁體中文請開啟程式後按 [Language] → [Traditional Chinese]。
3. #1 整理了一個例子。

軟體特色:

•SSDT 掛鉤的偵測和還原。
•SSDT 陰影掛鉤的偵測和還原。
•隱藏處理序的偵測、中止和傾印。
•隱藏驅動的偵測和傾印。
•隱藏檔案的偵測、複製和移除。
•掛鉤代碼的偵測和還原。
•報告產生功能。

注意:使用 RkU 需要管理員權限。

  Quote:
•SSDT Hooks Detection and Restoring
•Shadow SSDT Hooks Detection and Restoring
•Hidden Processes Detection/Terminating/Dumping
•Hidden Drivers Detection and Dumping
•Hidden Files Detection/Copying/Deleting
•Code hooks Detection and Restoring
•Report generation

支援的作業系統:

x86 32 bit Windows 2000 SP4
x86 32 bit Windows XP +SP1, SP2
x86 32 bit Windows 2003 +SP1, SP2
x86 32 bit Windows Vista



檔案下載:


MD5:

CODE:  [Copy to clipboard]
987CAE79047F04CA36B0830A7CBC6297


請按 [Copy to clipboard] 複製解壓碼:

CODE:  [Copy to clipboard]

PS. 請注意:

如軟體需特殊文件,而您只下不回的話,那不好意思,即使您 PM 向我詢問,我也會學您當個潛水者,不予回應,請別怪我,這本是禮尚往來,大家互相,所以,敬請各位大大保持論壇的良好風氣,養成有下有回的網路禮儀,謝謝您的配合 !!




我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸…
2007-10-19 10:45 AM
查看資料  訪問主頁  發短消息   編輯文章  引用回覆
  yoyo007
  論壇貴賓 
  菸草撐住的日子


 
  積分 38778
  發文 6170
  註冊 2005-9-10
  來自 滅絕希望的世界
  狀態 離線
#2  

文章轉自:偉大的網際網路...
編輯整理:
http://www.centurys.net/index.php

手動清除 Ntdll32.dll 木馬病毒 W32.Fujacks!html


一、病毒類型:W32.Fujacks!html Win32.troj.agent.s.412671

二、載入方式:利用驅動,凌駕於所有應用程式之上。(包括 COM)

Windows\system32\Ntdll32.dll 感染了 [Win32.troj.agent.s.412671] 病毒,卻無法刪除;就算在安全模式中進入登錄檔想刪除相關機碼也不行。

該木馬病毒執行後,會向系統加入一個名為 Internet Connection Manager (管理 Internet 網路連線) 的自啟動系統服務 (用於實現遠端監控),來源檔為 Windows\system32\internet.exe,並對 IE 瀏覽器裝上一個名為 [IEHELPER.DLL] 的外掛,以上就是這個程式的最終目的。

到此為止,這都只是個很普通的木馬程式做的事情,剩下的就是它為了保證這兩項能在系統中常駐所花的心思了,而它厲害的地方也在於此。  

程式執行時,會在 Windows\system32\driver 資料夾下加入一個名為 [mspcidrv.sys] 的系統驅動,並在 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下寫入一個 NTDLL32.DLL 機碼 (注意,這個大有用處);同時也向 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 寫入了該機碼 (啟動瀏覽器時自動啟動 NTDLL32.DLL);向 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 加入了兩處啟動項,分別都指向 Windows\system32.internet.exe。

驅動 [mspcidrv.sys] 載入後會改寫三個系統服務描述表,分別為 NtDeleteKey、NtDeleteValueKey、NtSetValueKey,並 HOOK,使得針對那兩個最終目的的登錄機碼的 [刪除登錄機碼]、[刪除登錄值]、[變更登錄值] 這三個功能失去作用,這是為了保護 Internet Connection Manager 系統服務和 IEHELPER.DLL 外掛的登錄機碼不被清除。

而 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下的這個 NTDLL32.DLL 機碼,就是實現記憶體恢復的關鍵。實際上這是一個插入系統處理序的 DLL 檔案,在程式啟動時,它就作為一個系統緒程插入 explorer 處理序中,並對登錄機碼進行監視,它分別檢測上述兩個最終目的的兩處機碼,發現它們被刪除就立即重寫,這一招的作用是:

在驅動還在的情況下,如果登錄機碼被刪除 (透過某些工具軟體如:Rootkit Unhooker),就立刻重寫;保證兩個最終功能的完整,是因為這個緒程自己本身也是要靠驅動保護的,所以在驅動失效,而它自己的登錄機碼又已被清除的情況下,它也只能維持在驅動被清除之前的那一次處理序插入,以在保證下次開機時,兩個最終目的的啟動項完整。
  
三、清除方法:

第一種方法:用 Rootkit Unhooker 清除。

1. 進入 Windows 工作管理員 (同時按 Ctrl+Alt+Del),到 [處理程序] 分頁中
   找到並結束 [explorer] 處理序;
   切換到 [應用程式] 分頁按右鍵 → [新工作 (執行...) ] 選取並執行您安裝
   的 Rootkit Unhooker 程式。

   註:綠化版直接執行 [RKUnhooker.exe] 即可。

2. 切換到 Rootkit Unhooker 程式介面的分頁 [SSDT] 按 [掛鉤] 排序
   找 [模組] 欄位中的值:mspcidrv.sys ← 在所有包含此值的行上按
   右鍵 → [解開選定的掛鉤]。

3. 切換到 [處理序] 分頁找 [處理序名稱] 欄位內所有有關:
   internet.exe 、mspcidrv.sys、Ntdll32.dll 和 IEHELPER.DLL
   按右鍵 → [中止處理序]。

   註:蒐集的教程採用的是 RkU 舊版,我重新編輯對應到此 RkU 新版;
       新舊版本在介面上的顯示略有差異,請視程式介面自行切換分頁並
       找出上述提到的相關檔案。


4. 開啟登錄編輯程式刪除登錄的服務 (執行 → regedit.exe)
   在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到
   有關 internet.exe 和 mspcidrv.sys 的兩個服務並將之刪除;
   然後到 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
   將 Appinit_Dlls 裡的值去掉,並在登錄機碼中搜尋所有有關:
   internet.exe 、mspcidrv.sys、Ntdll32.dll、IEHELPER.DLL 的值
  ↑將他們刪除。

5. 主要有以下病毒檔案:

   %systemroot%\system32\NTDLL32.DLL
   %systemroot%\system32\IEhelper.dll
   %systemroot%\system32\IEShell32.dll
   %systemroot%\system32\internet.exe
   %systemroot%\system32\drivers\mspcidrv.sys

   但這時因為還有其它檔案在呼叫這幾個檔案,您可能在正常模式下刪除不掉,
   可以開啟工作管理員按 [關機] 選擇 [重新開機] 後,進入安全模式中刪除。

6. OK,整個世界清淨多了。

第二種方法:在控制台下也可以停用驅動和服務。

1. 先安裝控制台:開始 → 執行 → [X:\i386\winnt32.exe /cmdcons]
   X: 為您的 I386 所在路徑,依照提示安裝就行了,重開機後可看見多重系統
   開機選單下多了一個 Microsoft Windows XP Recovery Console 控制台。
   進入控制台,輸入數字選定您要進入的系統,輸入管理員密碼登入。

2. 進入控制台,輸入 Listsvc 指令後按 Enter,在螢幕上會出現目前系統中
   已有的所有服務和驅動程式,以及其狀態說明。找到要停用的可疑服務或驅動
   程式,輸入指令 disable 要停用的程式或服務,按 Enter 後螢幕上會顯示出
   該服務以前的狀態和完成後的狀態;
   如果想僱用某個程式或服務,則需輸入Enable 要停用的程式或服務,
   按 Enter 後即可。控制台說明指令:help 可查閱所有可使用的指令。




我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸…
2007-10-19 10:47 AM
查看資料  訪問主頁  發短消息   編輯文章  引用回覆
  osk
  金卡會員 
  化龍轉鳳趴趴走


 
  積分 21354
  發文 2612
  註冊 2005-9-5
  來自 地球=防衛隊
  狀態 離線
#3  

哈...您是否最近有中毒過?否則怎出一堆"安全性相關"工具....哈..哈

Rootkit Unhooker 不知好用否?下載測試..
感謝 版兄分享...辛苦了  ^^




2007-10-19 11:53 AM
查看資料  發短消息   編輯文章  引用回覆
  yoyo007
  論壇貴賓 
  菸草撐住的日子


 
  積分 38778
  發文 6170
  註冊 2005-9-10
  來自 滅絕希望的世界
  狀態 離線
#4  



  Quote:
Originally posted by osk at 2007-10-19 11:53:
哈...您是否最近有中毒過?否則怎出一堆"安全性相關"工具....哈..哈

Rootkit Unhooker 不知好用否?下載測試..
感謝 版兄分享...辛苦了  ^^

論壇魅力無限,最近某位人士索性就把這裡當作肉雞大盤商了:http://www.centurys.net/viewthread.php?tid=129894;另一個原因是參考了:http://www.centurys.net/viewthread.php?tid=204345 帖內的投票數據及 tsjking 兄的補充說明,加上友人才中馬不久,於是毅然決然整理起這一系列工具,順便也把一些教程溫習一遍。希望可以不必用到,但如果非得用到時,也不缺,呵。




我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸…
2007-10-19 12:09 PM
查看資料  訪問主頁  發短消息   編輯文章  引用回覆
  xp20060726
  榮譽會員 
  隨緣放下,輕安自在.



 
  積分 82058
  發文 8761
  註冊 2006-7-26
  來自 無緣大慈,同體大悲.
  狀態 離線
#5  感謝提供分享!

最近網路流行很多的惡性軟體在流竄,
像以Email傳播"笑話"供您下載,必遭中毒!
木馬也是很猖獗,所以防毒系統也不容易清除乾淨,
多一些防護是必要的!!

感謝您的分享 !!!


2007-10-19 01:36 PM
查看資料  發短消息   編輯文章  引用回覆
  a2213572
  高級會員 
 



  積分 7539
  發文 1477
  註冊 2006-5-20
  狀態 離線
#6  

最近網際論壇常常上不了線.不曉得跟這些惡意病毒是否有關係.
昨天有網友反應在論壇下載 Your Uninstaller 之後關機時畫面全走樣!
感謝大大 推出整系列的鎮暴部隊.


2007-10-19 01:45 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  yoyo007
  論壇貴賓 
  菸草撐住的日子


 
  積分 38778
  發文 6170
  註冊 2005-9-10
  來自 滅絕希望的世界
  狀態 離線
#7  



  Quote:
Originally posted by a2213572 at 2007-10-19 13:45:
最近網際論壇常常上不了線.不曉得跟這些惡意病毒是否有關係.
昨天有網友反應在論壇下載 Your Uninstaller 之後關機時畫面全走樣!
感謝大大 推出整系列的鎮暴部隊.

還沒完,不過也差不多了;有些有繁體中文的,已先整理起來,另外還有一些正在整理中,全弄好,我會整合以反黑清毒常用輔助工具包分享出來。剩下一些用於系統監視的軟體,如 SSM、EQ ...等等之類,或一些防毒、防木馬、間諜的軟體,就不整理了,這部分需要大家視自己的系統和習慣自行搜尋下載。




我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸…
2007-10-19 01:59 PM
查看資料  訪問主頁  發短消息   編輯文章  引用回覆
  e722146
  金卡會員 
 


 
  積分 17398
  發文 5052
  註冊 2006-5-13
  來自 高雄
  狀態 離線
#8  

感謝提供一系列的防駭工具喔!
對於安定電腦來說很實用喔!
多謝大大熱心公益提供喔!




2007-10-19 09:46 PM
查看資料  發送郵件  訪問主頁  發短消息   編輯文章  引用回覆
  tenhon
  資深會員 
 


  積分 3760
  發文 632
  註冊 2006-11-13
  狀態 離線
#9  

yo大的作品就是完善、解說完整,還有附案例說明,真正受益良多,除了感謝還是感謝!

2007-10-19 10:14 PM
查看資料  發短消息   編輯文章  引用回覆
  hong01
  高級會員 
 


 
  積分 6152
  發文 706
  註冊 2006-4-10
  來自 若凡石-靈居
  狀態 離線
#10  

真是:功能十分強大!.... SSDT 掛鉤的偵測與還原,以及隱藏處理序、驅動和檔案的檢查和操作
先收下慢慢研究
謝謝版大!




凡石入凡世--識知世凡俗
凡俗爭凡事--笑與渡凡時
2007-10-20 12:05 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  lin5105
  高級會員 
 


  積分 6290
  發文 1433
  註冊 2006-8-13
  狀態 離線
#11  

是啊!常進出論壇,病毒與木馬就不得不防,可是,要百分百防止,確實要相當用心才行!
最近,掛在USB的硬碟透過檔案總管由根目錄點選時常存取被拒,如由"我的電腦"以次目錄方式點選則沒問題,是不是也隱藏有木馬?
Thanks ~~


2007-10-20 01:52 PM
查看資料  發短消息   編輯文章  引用回覆
  PLUS+
  中級會員 
 



  積分 1044
  發文 226
  註冊 2007-8-5
  來自 不存在的地方
  狀態 離線
#12  

手動清木馬可用.....
這類軟體的介面都非常非常相似
謝謝yoyo大

yoyo大會俄羅斯語喔XD


2007-10-20 03:56 PM
查看資料  發短消息   編輯文章  引用回覆
  yoyo007
  論壇貴賓 
  菸草撐住的日子


 
  積分 38778
  發文 6170
  註冊 2005-9-10
  來自 滅絕希望的世界
  狀態 離線
#13  



  Quote:
Originally posted by lin5105 at 2007-10-20 13:52:
是啊!常進出論壇,病毒與木馬就不得不防,可是,要百分百防止,確實要相當用心才行!
最近,掛在USB的硬碟透過檔案總管由根目錄點選時常存取被拒,如由"我的電腦"以次目錄方式點選則沒問題,是不是也隱藏有木馬?
Thanks ~~

沒看到我還真忘了,上次幫友人清理電腦時,帶了顆隨身碟去,剛剛開起來一看,居然也被感染了:



lin5105 大用 WsysCheck 瞅瞅看隨身碟內有啥東東;存取被拒的情況我遇過一次,但由於沒什麼重要資料,就格式化解決了。有重要資料的話,按右鍵 → 檔案總管,把資料複製出來,再格式化。


  Quote:
Originally posted by PLUS+ at 2007-10-20 15:56:
手動清木馬可用.....
這類軟體的介面都非常非常相似
謝謝yoyo大

yoyo大會俄羅斯語喔XD

俄羅斯語我不會,但程式的對話方塊有英文可參照,唯獨字串需將俄羅斯轉為英文,再翻譯成中文,也是連矇帶猜兼測試,痛苦,花了很多時間。 ><




我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸…
2007-10-25 09:32 AM
查看資料  訪問主頁  發短消息   編輯文章  引用回覆
  鐵漢柔情
  進階會員 
 


  積分 1990
  發文 76
  註冊 2006-2-27
  狀態 離線
#14  



  Quote:
Originally posted by yoyo007 at 2007-10-25 09:32 AM:


沒看到我還真忘了,上次幫友人清理電腦時,帶了顆隨身碟去,剛剛開起來一看,居然也被感染了:



lin5105 大用 Wsy ...

==============================================
我也是受害者~~~~居然被隨身碟病毒入侵
還好有網際裡面各位前輩替我們解決~~~
真是受益良多




回帖是最好的鼓勵
2007-10-27 04:44 PM
查看資料  發短消息   編輯文章  引用回覆
  duo
  一般會員 
 


  積分 427
  發文 58
  註冊 2005-9-17
  狀態 離線
#15  

這個好讚喔
大大謝謝你熱心的發表


2007-10-28 11:40 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  csesanyo
  一般會員 
 



  積分 308
  發文 102
  註冊 2007-3-24
  狀態 離線
#16  

還沒用過此軟體..謝謝分享
下載備用


2007-10-28 05:37 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  benleung
  資深會員 
 



  積分 4188
  發文 605
  註冊 2006-5-7
  狀態 離線
#17  

來學習一下手動清除木馬的程序,
在這裡,真是什麼電腦課程也有得學, ^ ^
謝過YOYO大了


2007-10-29 06:25 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  七彩琉璃雨
  論壇貴賓 
  雲眉站掌門人


 
  積分 21404
  發文 1287
  註冊 2005-8-31
  來自 九重天外 臥雲居
  狀態 離線
#18  

專用於系統掛鉤的偵測與還原
對這類程序還沒多少研究
先收下備用~~




半神半聖亦半仙 全儒全道是全賢
                     腦中真書藏萬卷 掌握文武半邊天

2007-11-30 11:56 AM
查看資料  發短消息   編輯文章  引用回覆
  tw517
  一般會員 
 



  積分 408
  發文 102
  註冊 2005-9-7
  來自 台灣
  狀態 離線
#19  

網路好人多,放讀的壞人也多,好人應該長壽,放毒的應該下地獄。謝謝提供非常專業的解毒法!

2008-1-30 10:19 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  tsjking
  高級會員 
 


  積分 6906
  發文 982
  註冊 2007-1-20
  來自 台灣台東
  狀態 離線
#20  

原來還有這把刀在啊!稍為不留意就錯過了,要對付三教九流的惡意幫還真是
要備齊所有可用的工具,檢測了一下,幸好沒有什麼跟什麼東東掛鉤,看來系統
是安全的,再來就要好好的測試這個工具的功能,學著如何運用三刀流的技巧
確保系統安全,謝謝 yoyo大 的繁化及分享,使用上有何進展再來報告




有下有回真君子!有下無回真小人
2008-7-16 08:14 AM
查看資料  發短消息   編輯文章  引用回覆
<<  [1] [2]  >>

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: