您尚未
登入
注册
忘记密码
搜寻
赞助
赞助本站
数位公仔
纪念T恤
纪念马克杯
广告
刊登广告
广告价格
线上申请刊登
用雅币刊登
免费刊登
目前客户
简讯
简讯说明
购买金币
发送简讯
预约简讯
发送记录
好友通讯
罐头简讯
论命
数位论命馆
免费排盘工具
葫芦墩 优生造命
葫芦墩 八字命书
影音论命(葫芦墩)
影音占卜(葫芦墩)
购买金币
星座分析
孔明神数
周公解梦
星侨线上论命
娱乐
影 像 行 脚
数 位 造 型
数 位 画 廊
心 情 日 记
公 益 彩 券
送生日蛋糕
俄罗斯方块
四 川 省
猜 数 字
比 大 小
泡 泡 龙
许 愿 池
万 年 历
经 期 计 算
体 重 测 量
音 乐 点 播
卫 星 地 图
时间戳字幕
男女聊天室
求助
论坛守则
会员等级
会员权限
语法教学
常见问题
最新活动
打工赚雅币
首页
新版首页(全页)
传统首页(全页)
新版首页(选单)
传统首页(选单)
MyChat 数位男女
命理风水
15
星侨五术软体
4
葫芦墩命理网
5
命理问答
9
四柱八字
1
紫微斗数
1
姓名学
手面相
易经占卜
1
风水研讨
1
择日&三式
1
西洋占星
无视论塔罗牌
10
修行&武术
1
中医研讨
五术哈啦
1
电脑资讯
13
硬体讨论
5
超频 & 开箱
3
数位生活
2
PDA 讨论
手机讨论区
软体推荐
2
软体讨论
6
Apple 讨论
1
Unix-like
网路&防毒
2
程式设计
网站架设
4
电脑教学资源
生活休闲
14
休闲哈啦
7
感情世界
2
上班一族
5
国考&法律
7
生活医学
4
运动体育
1
单车讨论
1
钓鱼讨论
6
旅游讨论
4
天文观星
3
摄影分享
8
图片分享
4
数位影视
2
笑话集锦
3
兴趣嗜好
13
文学散文
7
绘图艺术
1
布袋戏
3
动漫画讨论
3
美食天地
6
理财专区
心理测验
1
汽、机车
3
宠物园地
模型&手工艺
4
花卉园艺
魔术方块
独轮车专区
电玩游戏
13
游戏欢乐包
4
CS讨论
8
Steam
3
MineCraft
2
东方Project
英雄联盟LOL
1
单机游戏
2
WebGame
3
线上游戏1
6
线上游戏2
5
电视游乐器
1
掌上型游戏
2
模拟器游戏
1
工商服务
6
虚拟城市
7
好康分享
新品贩售
二手拍卖
1
租屋&找屋
工商建议区
1
站务专区
10
最新活动
活动成果
数位造型
心情日记
个人图库
新人报到练习
论坛问题建议
1
荣会及电子报讨论
-最近版区-
-最近浏览-
»
电脑资讯
硬体讨论
超频 & 开箱
数位生活
PDA 讨论
手机讨论区
软体推荐
软体讨论
Apple 讨论
Unix-like
网路&防毒
程式设计
网站架设
电脑教学资源
»
网路&防毒
网路通讯讨论
防毒防骇讨论
»
防毒防骇讨论
防毒历史问题
»
利用Autoruns,轻松判断是否中毒,轻松DIY清除木马。
手机版
订阅
地图
繁体
您是第
32344
个阅读者
<<
1
2
3
下页
>>
(共 3 页)
可列印版
加为IE收藏
收藏主题
上一主题
|
下一主题
upside
反病毒 反诈骗 反虐犬
级别:
版主
版区:
硬体讨论
,
公益互助
,
PDA 讨论
,
手机讨论区
,
诈骗资讯
,
网路&防毒
x372
x2016
分享:
▼
x
2
[资讯教学] 利用Autoruns,轻松判断是否中毒,轻松DIY清除木马。
利用Autoruns,轻松判断是否中毒,轻松DIY清除木马。
一.前言。
◣文章浏览最佳解析度:1280*1024
Autoruns是一款由Microsoft所推出的工具,拥有不逊于SREng的报表能力,有些部份甚至赢过SREng。
与SREng不同的是,Autoruns可以方便快速的检查启动项,我认为很适合一般用户自行检查是否有中毒。
详细理论部份,就不详提了,有兴趣请见官方。
http://www.microsoft.com/technet/sysi...es/Autoruns.mspx
Autoruns下载点:
http://download.sysinternals...utoruns.zip
▲
近来有很多恶意程式会利用IFEO(映像挟持)造成工具无法开启,若Autoruns不能运行,请自行更换名称、副档名。
▲
任何工具都是两面刀,操作请务必小心谨慎!
Autoruns适用处理范围
:
木马、间谍、广告、后门、大致上全部都可以处理,不过有部份会进行档案感染的蠕虫就无法 简单的使用工具处理了。
二.木马基础概念。
防毒软体侦测到木马,但是却删不掉,或者删除过后又再生,这因该很多人都碰过,也是许多人的梦魇。
究竟为什么会造成这个原因呢?
一只完整的木马,通常不会只有一个档案,它会利用各种手动想办法不要被删除,于是产生很多生成物,这些生成物之前彼此保护,防毒软体通常都没砍干净,甚至连侦测到都没有,这就是所谓「斩草不除根,春风吹又生」,要彻底清除木马,得砍掉他最重要的启动程式。
木马也只是个普通的程式,若没特殊条件进行启动,根本无法运作,且最常利用的方式就是注册表(登录档),但是那么繁杂混乱的登录档,一般人根本无从判断起,也丝毫没有头绪,这时候就该借助工具了,Autoruns就是一款操作简单,判断容易的安全软件,足以让您DIY清除木马。
三.自动判定启动项、产生Log。
当档案下载完成,且解压缩之后,双击两下"autoruns.exe"程式就会启动了。
这就是这款软体为什么可以简单判断注册表的原因了。
透过连接Microsoft资料库,且自动隐藏验证过的Microsoft物件,达到大幅度简化Log效果。
各位可以与没经过验证、隐藏的Log比较看看,精简了非常非常多。
接下来进行输出Log的动作,方便日后运用。
接着请输出(Save)Log,一来有需要时可提供给版上大大判读,二来需要有Log才能使用Autoruns经典功能之一。
四.启动项的判断。
判断启动项有两种方法,一种是节省时间,也较为方便的方法,不过还是得靠一点经验。
方法(1).网路搜寻资料。
方法(2).VT判读法。
(VT网址:
http://www.virustotal.com...otalf.html
)
稍微简介一下VT,VT就是一个专门提供扫描服务的网站,内含有非常多种防毒引擎,也就是说您可以一次使用数十种防毒软体来检查这个档案。
▲
由于很多档案会以「隐藏档」、「作业系统档」的形式存在,所以请先行修改资料夹选项,否则可能会无法找到档案。
修改资料夹选项的步骤大致如下,由于操作简单,就不用太多图片说明,改用文字说明呈现。
①点选「我的电脑」。
②工具 > 资料夹选项 。
③然后上方选择到检视。
④之后请见下图操作。
由于有些档案属性是「作业系统档案」、「隐藏档」,所以需要修改资料夹选项才可看见,请照图操作。
修改过后请自行手动连结到VT。
(VT网址:
http://www.virustotal.com...otalf.html
)
若自己不敢确定,可以尝试回报防毒软体公司,或者请其他大大协助判断、回报。
五.威胁处理。
要清理一只木马要分两个部份,登录档(Registry)、实体档案。
Autoruns只能处理登录档,实体档案部份请自行运用工具处理,只要是能删除档案的工具都可以,没了启动项,木马不过就是破铜烂铁。
当确认有威胁,且删除登录档过后,请重新启动一次电脑,在删除实体档案,确保操作期间不会受到干扰。
若手动还是删除不了,可以运用一下删除工具,这种工具各位因该都多少会几款,就不详细说明了。
可运用之删除的工具有(Unlocker、KillBox、费尔木马强力清除助手、Icesword、Gmer、等等等...。)
◣建议清除步骤简述。
步骤一.请先准备相关会应用到的工具。 EX:(Unlocker、KillBox、费尔木马强力清除助手,随便选一款自己会用的就好。)
步骤二.关闭系统还原、清空IE暂存档。
步骤三.进入安全模式。
步骤四.启动「Autoruns」,照上图说明删除登录档。
步骤六.请再度重新开机,且再度进入安全模式。
步骤七.使用删除工具,对实体档案进行删除。
◣备注:可能得修改资料夹选项才看的到档案,如何修改资料夹选项在文中有提到,请自行查看。
P.S 清除方法有很多种,以上是个人推荐之清除方案。
还是强调,工具操作请谨慎小心。
六.在未来怀疑中毒?自己DIY比对Log!
这就是为何么推广此软件的原因了,可以进行「前后比对」,当未来某一天您怀疑有中木马时,可以输出Log进行比对。
▲
Options设定部份请不要进行任何修改,保持「核对微软资料库、隐藏验证过的微软程式」的设置,以免造成一些混乱状况发生。
七.结论。
这款软件我早就想推广了,自行检查启动项,及未来当作比对用途,都非常方便,也非常适合一般大众。
刚好碰到端午连续假期,花了两天的时间编辑完成,由于进度匆忙,若发现有错误烦请指正。
为了推广此工具,欢迎各位自由转载。
爸爸 你一路好走
x
6
[楼 主]
From:台湾和信超媒体宽带网 |
Posted:
2007-07-10 18:10 |
hantzwu
级别:
路人甲
x0
x0
分享:
▲
▼
小弟也是一直用这个『小而美』的工具来解决问题,看到大哥这么深入的应用真是敬佩!
我的方法是利用「Publisher」来判别是否有问题,帮了我非常多忙,最最重要的是『免费』。
感谢大哥及 sysinternals 原作者!
x
0
[1 楼]
From:台湾中华 |
Posted:
2007-08-14 22:04 |
f117a
级别:
小人物
x0
x98
分享:
▲
▼
原来防毒也可以利用简单的软体,就可以达到防毒的效果,
真得很棒,可以解决目前防毒软体需要金钥的问题.
x
0
[2 楼]
From:台湾 |
Posted:
2007-12-11 19:56 |
boringman829
级别:
初露锋芒
x0
x10
分享:
▲
▼
正在试用中!
目前小弟是用avast来扫毒,
大大提供的教学分享对我非常有助益,
vt网路的扫毒程式应有尽有,
赶快来吸收您的文章以及加强防毒安全啰!
谢谢这位大大。
x
0
[3 楼]
From:台湾 |
Posted:
2007-12-18 15:50 |
lssac911a
级别:
小人物
x0
x9
分享:
▲
▼
谢谢你的分享 这个文章我就知道怎么操作了
目前我正在上传档案查验中
真是一个很好自行DIY检查的一个方式
生命的目的,在于如何使生活变得更好。
学习的目的,在于如何明了间题所在及解决问题。
我会努力过活与学习的!^^
x
0
[4 楼]
From:台湾中华HiNet |
Posted:
2007-12-19 12:20 |
yuan2626
级别:
小人物
x0
x18
分享:
▲
▼
感谢分享
下载来试试看
x
0
[5 楼]
From:台湾台北市内湖区(瑞光路478巷20 |
Posted:
2007-12-22 15:34 |
highgreen
级别:
初露锋芒
x0
x11
分享:
▲
▼
想不到用简单的方式也能防毒防骇,谢谢分享
x
0
[6 楼]
From:台湾 |
Posted:
2007-12-28 12:47 |
descent
级别:
小人物
x1
x45
分享:
▲
▼
骇客难防 扫毒程式 找不到
少开 *.cmd
多半都是 让你中毒 却让你无所示从的
因为病毒会隐藏在硬碟的根目录下 让WINDOWS XP 自动执行[它]
在WINDOWS XP 根本看不到 就算开启隐藏档的状态 也看不到[它]
要靠自己解毒 根本无从解起
x
0
[7 楼]
From:台湾中华HiNet |
Posted:
2008-01-21 10:13 |
樱花雨
级别:
路人甲
x0
x0
分享:
▲
▼
这我对系统也不是很了!...,看到大大真是热心我为你加油!!!
通常我都是重装,只要一段时间系统有些怪,就差不多要重装
我以前比较天真比较傻,现在长大了...
直接砍了重练.....
毕竟要一样一样比对还是要有些电脑功力才有可能办的到....
不自由的分享限制
将为自由加上脚链
x
0
[8 楼]
From:欧洲 |
Posted:
2008-03-03 21:10 |
沉默的人
级别:
初露锋芒
x1
x72
分享:
▲
我个人觉得这葛软体很难用
但是他不会有像卡把一样会有黑名单之类的东西
x
0
[9 楼]
From:台湾 |
Posted:
2008-03-22 12:04 |
<<
1
2
3
下页
>>
(共 3 页)
MyChat 数位男女
»
防毒防骇讨论
Powered by
PHPWind
v1.3.6
Copyright © 2003-04
PHPWind
Processed in 0.094805 second(s),query:16 Gzip disabled
本站由
瀛睿律师事务所
担任常年法律顾问 |
免责声明
|
本网站已依台湾网站内容分级规定处理
|
连络我们
|
访客留言