小屋創作

日誌2007-09-28 08:24

惡意軟體常用偵測/清除工具

作者:林鴻鈞

惡意軟體這個類別,除了病毒之外,我們更常見到的就是木馬,間諜和廣告程式.而通常來說,病毒相對於其它的幾類,都可以用防毒軟體直接清除.而與此不同的是,儘管目前很多防毒軟體都具備了偵測和清除木馬,間諜和廣告程式的功能.可實際上效果並非很理想.例如現在很流行的木馬程式,防毒軟體基本上都可以偵測到,卻只有少量的會徹底清除(刪除並不等於清除).

而一般情況下,清除木馬程式等,我們需要下面幾個步驟:
01. 防毒軟體偵測到木馬程式,此時可能會直接刪除,而重新開機後,卻又出現.
02. 通過啟動內容檢視/偵測工具,從系統的啟動中去掉相關內容,讓木馬程式無法自動啟動,從而避免刪除感染檔案後又再次出現的現象.一般這樣的木馬,都會在系統登錄檔中加入自己的訊息.這個步驟比較難,需要通過自己逐漸累積經驗,如果忽略一個位置,可能就前功盡棄.
03. 刪除相關檔案即可.

下面提供幾種經常會使用到的偵測工具,同時也歡迎你來提供更好用的替代工具,或者針對特定病毒,木馬等的清除工具.

Autoruns
系統啟動內容檢視工具,可檢視項目包含:開機啟動程式,加載系統服務,瀏覽器 BHO,任務排程,映像劫持等.主要用於判斷在啟動進程中是否存在木馬程式的加載.同時,也可以檢視IE瀏覽器是否被某些程式所劫持.
進入官方頁面

Process Explorer
進程管理工具,是Windows內建工作管理器的增強版本,除了可以檢視進程訊息外,
還可以看到相關載入的DLL檔案,檔案簽署等內容.適合於判斷當前進程中是否包含不正常的程式在執行,也可以快速的檢視對應進程的位置,開發者,大小等訊息.
進入官方頁面

TcpView
TCP和UDP連接的檢視工具,可以看到當前本地電腦中所有程式的對外連接狀態,適合判斷木馬程式是否連接到遠程主機.
進入官方頁面

PortMon
電腦埠口檢視工具,類似TCPMon,但是針對目標不同,可配合使用.
進入官方頁面

FileMon
檔案檢視工具,可以查看當前執行中的程式的讀寫操作.
進入官方頁面

DiskMon
磁碟操作檢視工具,類似FileMon.
進入官方頁面

RegMon
登錄檔操作檢視工具,性質同DiskMon,但是針對目標為系統的登錄檔.
進入官方頁面

RootkitRevealer
Rootkit偵測工具.用於檢測系統中是否存在危險的Rootkit.
進入官方頁面

LoadOrder
系統加載清單和順序檢視程式,可以查看從系統啟動到進入桌面後,系統加載的所有檔案,用於判斷存在底層驅動中的惡意程式.
進入官方頁面

以上工具微軟有提供整合套件:進入官方頁面/直接下載套件.

IceSword
進程管理工具,學院派作品,是一款比Autoruns,ProceXP,Unlocker等更強大的綜合性工具,主要用途也是用於對木馬程式等可疑的內容進行偵測.
進入官方頁面

System Repair Engineer (SRENG)
用於調整,修復系統的安全輔助工具,搭配IceSword基本上可以滿足系統檢視,偵測,修復等功能,是居家使用外出旅行之必備.
進入官方頁面

USBCleaner
針對隨身碟病毒和木馬的專屬清除工具,主要處理點選磁碟機後無法打開窗口,必須使用其他方式進入,以及(非光碟機中)滑鼠右鍵選單中出現AutoPlay,自動播放等字樣的問題.
進入官方頁面

Universal Extractor
安裝程式資源提取工具,可以提取各種安裝程式中的資源,以查看是否含有惡意程式等內容.對於那種檔案容量很小,而且自己感覺可疑的安裝程式,可以先提取,觀察其中是否含有類似雅虎工具列之類的程式.
進入官方頁面

Unlocker
進階的檔案刪除/重命名/複製/移動工具,主要用於刪除被系統鎖定或者無法直接刪出的檔案.
進入官方頁面

雖然說通過這些方法,我們可以清除電腦系統中的惡意軟體,可養成良好的上網習慣,可以大量的減少這些問題出現的機率.例如:

01. 對於不確定的網站,可以先禁用瀏覽器的Script解析功能,增強安全性.這樣可以避免惡意腳本的執行,也大大降低了通過瀏覽器下載安裝木馬程式的可能性.
02. ActiveX雖然存在一定的危險,可在安裝之前,對其發佈者進行確認.例如安裝Adobe Flash Player,那我們完全可以先Adobe的官方網站安裝.避免在某些網站安裝被修改後的ActiveX元件.
03. 避免使用網路線上遊戲的外掛程式,大部分外掛都綑綁有盜取遊戲帳號的木馬.
04. 安裝比較適合的防毒軟體,防火牆,同時針對廣告/間諜程式可以選擇性的安裝.
05. 下載檔案,儘量通過官方網站,而不是那種小型的軟體下載站點.
06. 避免安裝軟體附帶的工具列.如果喜歡,可以直接去Google或者Yahoo等網站下載.
07. 定期從作業系統官方網站獲取安全更新和修補程式,減少因為漏洞而產生的風險.
08. 使用即時通訊軟體時(例如雅虎即時通,MSN,ICQ等),不可輕易接受對方發送的檔案,
就算是好友,也要確認後才可.
09. 使用P2P軟體(例如BT,EM,FOXY,SHARE等)下載,請於下載後使用防毒軟體進行掃瞄.
10. 網路遊戲中不要將自己的帳號及相關資料告知其他人.
11. 在註冊網站時,大部分中小型網站的註冊可以使用自己編造的一套資料,避免個人訊息洩漏.網站註冊時所使用的電子信箱地址,可以單獨註冊一個免費地址專用於註冊.
12. 勿將重要資料,商業機密等放於連接到網路的電腦中,請自行備份.
13. 請愛用TweakUI將光碟機,硬碟,隨身碟的Autorun和AutoPlay功能禁用,減少此類病毒的感染.打開隨身碟時,養成一個愛用右鍵選單開啟的習慣.

本文只做引導之用,希望能拋磚引玉,讓大家在使用電腦的過程中,對於一些問題可以舉一反三,不局限於固定的思考模式.也歡迎大家提供相關的內容和資訊,在此回文即可.

10

18

LINE 分享

相關創作

[模型工具分享] - 意想不到的超方便試色工具!! [假指甲]!!

【自用工具】Arcaea 單曲潛力值計算工具

[達人專欄] 【坐檯接客經驗談】喜歡的類型

留言

開啟 APP

face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】