[分享] 一些安全工具的簡單操作

前言
當然，簡單操做而已。如果版友有更好的意見歡迎提出。

Autoruns 介紹
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
Autoruns為一款管理開機的軟體，可以用來查找開機自動運行的程式。此軟體最大的特色為在系統乾淨的情況下可以備份日誌，等到系統中木馬時，再拿出來比對。

1.下載執行後產生如下圖所示


2.找到File，下拉SAVE，備份一乾淨系統開機日誌，軟體預設存檔檔名為AutoRuns.txt。
當然如果你不確定系統是否乾淨或根本確認有毒，也可以將日誌貼出，供版友檢查。





3.當系統發生疑似有木馬時拿出來比對。
  點選File，下拉Compare。



  找到原先備份的檔案以作比對。此處備份的檔案為AutoRuns.txt


4.軟體比對前後檔案後，將異動的項目以綠色標示出。



5.如確定為惡意項目，滑鼠游標移至該項目，右鍵點選該項目，按下"Delete"，刪除該項目。



6.如果不確定是否為惡意項目，也可以通過Google尋找相關訊息。
   滑鼠游標移至該項目，右鍵點選該項目，按下"Goolge"。

System Repair Engineer
System Repair Engineer(SREng)為一款強大的系統修復工具。其掃描日誌遠較hijackthis來的詳細。訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
使用此工具會自動連上官網檢查是否有更新的版本，仍能正常運作。

以下僅做些基本介紹。
1. 求助者須先停掉手邊工作, 關掉不必要的應用程式如 msn, yahoo messenger, IE  以減少板上大大分析時間。對系統做掃描，切換到smart scan頁籤，勾選"Verify the digital signature of process modules"，之後 按下scan進行掃描。


2. 掃瞄完成後，按下Save report輸出日誌。如不確定哪些項目為危險項目，可以將日誌貼出供版上大大查看。


3. 如不確定是否為可疑項目，可以右鍵點擊該項目，使用Google查找。
如確定為可疑項目，可以刪除或修改該項目，按下Edit或是Delete。


4. 我們在使用防毒軟體掃毒時，往往刪除病毒後，卻留下後遺症，造成exe等文件無法開啟，這個軟體正好可以解決此問題。切換到System repair頁面、找到File Assocation、勾選select all，按下Repair。如果System Repair engireer無法執行，請將其副檔名改為com。


5. 有些病毒可能會造成您的防毒軟體無法正常更新病毒碼或是您無法使用線上掃毒掃描電腦。請按照以下步驟檢查host文件，切換到System repair頁面、在上方頁籤中選擇Host file，正常Host應該只有這行敘述：
127.0.0.1        localhost
   如有多餘敘述，除非您確定知道那是什麼，否則請選擇該項敘述，按下delete。
   
   
6. 當工作管理員無法執行、無法使用windows自帶的登錄編輯器、無法使用控制台時等可以按照以下方法解決。切換到System Repair engireer，選擇windows shell頁籤，勾選select all、按下repair修復。
  

Icesword
對岸號稱斬殺木馬的利器，在國外也是很有名的一款軟體。主要功用為結束進程、查找後門、Rookit、強制刪除登錄機碼。建議使用英文版。

訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

使用木馬樣本測試，該木馬會在C:/womdows/system/ 生成service.exe


1.使用icesword可以查看正在執行的程序。

windows自帶的工作管理員沒有顯示程序



切換到process頁面，icesword偵測到執行中隱藏的木馬程式，以紅色標示。右鍵點選此程式，選擇Terminate process可以中止此木馬程式。



2.使用icesword 觀察隱藏中毒檔案
        
即使打開windows 隱藏檔案屬性，在C:/womdows/system/，仍然沒有辦法看到service.exe這支木馬。


使用icesword 切換到File，在C:/womdows/system/，找到service.exe這支隱藏木馬，右鍵點選delete即可刪除。


3.強制刪除登錄機碼。切換到registry，找尋欲刪除的機碼，右鍵點選delete。

                                                                                                         

4.Sometime,我們會碰到防毒軟體警報 *dll 文件無法清除，可以使用process explorer來找出掛鉤的程序，當然如果不是系統進程，直接結束再刪掉dll 就好了，可是process explorer 往往會告訴我們寄宿的程序為svchost.exe, explorer.exe,winlogon.exe這些系統程序，此時我們可以使用icesword來卸載 dll文件。在process頁中找到系統進程，點選右鍵"Moudle Information"，查看訊息。注意有時候卸載*dll會造成系統當機，此時就必須請出system safety monitor來禁止*dll文件的載入

選擇欲卸載的*dl，點選unload卸載或是unload(force)來強制卸載。l






5.可以i監看一些隱藏服務。隱藏服務icesword會以紅色標示。

RookitReveal
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
檢查Rookit。

下載RookitReveal，執行後按照下圖所示，可以掃描及輸出日誌。




Unlocker
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

解除程序佔用，讓惡意程式能順利移除。安裝完成後會在右鍵增加Unlocker的圖示,右鍵點選檔案就可以解除佔用。


LSP-Fix、WinsockxpFix
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

1.使用LSP-Fix修復hijackthis 010項

2.修復後如果無法上線，請使用WinsockxpFix修復網路。

3.LSPFix、WinsockxpFix務必同時下載在進行步驟1的修復動作，以免因為修復造成網路無法連線。