工具教學

HijackThis 出新版本

2007 年 07 月 11 日 – 14:34:00

自從被趨勢科技買下免費軟體 HijackThis 後,很多原本喜歡利用此工具的使用者紛紛改用其他的工具,特別是其他防毒軟體公司的員工,不過,此工具還是有許多優點,其中一項就是可以快速地找出系統有問題的元件。HijackThis 會收集系統相關資訊,產生報表,然後,可以將此報表提供給相關人員,以找出系統的問題,或是修復惡意程式所植入之檔案或註冊碼。

基本上,2.0.2 版本的 HijackThis 並沒有太大的改變,相關新增功能及強化舊功能,如下所列:
  • AnalyzeThis statistics: 會將記錄檔上傳至 TrendSecure 或是 HijackThis 相關論壇
  • 支援 Windows Vista
  • 改善 IE 7.0 的支援
  • 改善非英文白名單之支援
  • 支援清除 ActiveX Desktop Components

下圖是新舊版本之比較:

對此免費工具有興趣的網友,可以到這裡下載此工具。

工具教學, 產業動態 | 瀏覽數:423 | 2 迴響 »

如何修復被惡意程式破壞的Winsock?

2007 年 07 月 10 日 – 18:52:00

有些惡意程式 (Trojan.Riler.FTROJ_AGENT.CAC) 或間諜軟體 (NewDotNetWebHancer) 安裝一些附加元件至系統的Winsock2機碼中 (有時候稱為Layered Service Provider, aka, LSP),以利於監視系統的網路訊息。當你 (防毒軟體或反間諜軟體) 不小心移除它時,會造成網路中斷或網路不穩定。如果發生這種情形,如何檢查及修復它呢?

閱讀全文 »

工具教學 | 瀏覽數:686 | 0 迴響 »

如何分析 Rustock.B Rootkit

2007 年 01 月 28 日 – 20:33:00

Rustock.B Rootkit 使用蠻多惡意程式常用或不常用的技術,例如加殼技術、ADS (Alternative Data Stream) 等,以隱藏自己的行為。

Frank Boldewin 分析了這隻 Rootkit,並且把分析的結果記錄下來,寫成一篇文章,分享給大家 (包含樣本、程式碼等),有興趣的人或想學習如何分析惡意程式的人 (有點困難就是了),可以參考 A Journey to the Center of the Rustock.B Rootkit

Rootkit, 工具教學 | 瀏覽數:668 | 2 迴響 »

Autoruns 出新版本了

2007 年 01 月 26 日 – 00:19:00

AutoRuns for Windows v8.61 支援一個新的功能「比較 (compare)」,可以與之前的結果做差異性的比較,另外,修正與 Windows 98/Me 相容性的問題。

sysinternals_autorun_compare.png

這個工具蠻好用的,它可以查看哪些程式會自動執行 (AutoRun 或 AutoStart),亦即,當作業系統啟動後,哪些程式會自動執行 。

工具教學, 網站安全 | 瀏覽數:412 | 0 迴響 »

IceSword 支援 Windows Vista

2007 年 01 月 24 日 – 17:01:00

IceSword 已經可以支援 32 位元的 Windows Vista。

為什麼我要特別強調此工具呢?因為它是號稱當今最強 (也許有其他的工具比它偵測更多的 rootkit) 的 Rootkit 偵測與清除工具 (也可以利用此工具移除其他惡意程式)。如果想要試試這個工具,可以到作者的網站下載 (到其他地方下載,可不保證沒問題喔)。

icesword.png

如果各位知道更好的工具,請分享一下。

更新內容: 2007-01-25 06:30 PM

工具教學, 網站安全 | 瀏覽數:504 | 0 迴響 »

如何預防隨身碟中毒

2007 年 01 月 23 日 – 17:39:00

在現今的社會,隨身碟就像數位相機、手機、iPod 等已經成為生活的一部份,不可或缺。很多人把它當成一種儲存設備,將很多重要資料存放在上面,它有可能會不見或被偷,但它有另一個風險就是攻擊者、駭客或惡意程式作者可以將它視為一種攻擊工具,把惡意程式放在上面,然後,透過社交工程的方法,將它插入受害者的電腦,之後,他們就可以完全地控制受害者的電腦。到底他們是如何做到得呢?

微軟視窗作業系統提供一個自動執行 (Autorun 或 Autoplay) 的功能,系統會自動尋找 autorun.inf 的檔案,然後,根據其內容,自動執行相對應的檔案,可想而知,如果那些檔案包含惡意程式碼,你可能就變成受害者,但要如何預防呢?以下分成幾點說明:

一、避免已感染的隨身碟感染電腦:可以利用下面其中一種方法,關閉動執行 (Autorun 或 Autoplay) 的功能。

1. 當隨身碟插入電腦時,一直按著「Shift」鍵,直到系統已經連結此隨身碟 (作業系統將不會執行 autorun.inf 的內容)。

2. 修改登錄機碼,找到 HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer,將 NoDriveTypeAutoRun 的值設為 0×00000095 以及
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer,將 NoDriveTypeAutoRun 的值設為 0×00000095,然後,重新開機,
這樣就可以停用 Autorun 了。

3. 利用群組原則嵌入式管理單元 (gpedit.msc) 。[本機電腦]->[開始]->[執行]->[在開啟欄中輸入 gpedit.msc],然後,參考下圖 (點選「電腦設定」->「系統」->「關閉自動播放」->「設定」->「已啟用」->「停用自動撥放在所有磁碟機」->「確定」。注意:選擇「所有磁碟機」將會停用所有硬碟的自動播放功能(含USB隨身碟))
),設定完成後,重新開機。

二、避免已感染的電腦感染隨身碟:其實,就像以前的磁片 (Floppy),因為會被病毒感染,最後,磁片都具有唯讀 (Read-Only) 的開關,所以,各位可以購買具有唯讀開關功能的隨身碟,但現在好像比較少隨身碟有此功能,製作隨身碟的廠商可能要考慮把此項功能納入規格中,否則,很難避免中毒。(另外,各位可以常常檢查是否 autorun.inf 被更改過了)

至於,為什麼要將 NoDriveTypeAutoRun 的值要設為 0×00000095 呢?如果各位有興趣的話,我會再說明。最後,如果此篇文章有錯誤的地方,請告知。

P.S. 如果要關閉 CD-ROM 的自動執行功能,可以將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\autorun 的值設為 0,然後,重新開機。

更新資訊: 還是把 NoDriveTypeAutoRun 設為 0xFF 比較安全 (而不是 0×95)。

延伸閱讀:
你的隨身碟中毒了嗎?

工具教學, 惡意程式, 網站安全 | 瀏覽數:540 | 0 迴響 »

你的隨身碟中毒了嗎?

2007 年 01 月 20 日 – 07:50:00

前一陣子,隨身碟 (大拇哥或 USB Stick) 被偵測出有病毒藏身在其中,因為問題已經解決了,就沒有進一步追查原因,直到今天,拿著隨身碟到影印店去影印上課講義,感覺怪怪的,檢查了一下,哇勒,我的隨身碟中毒了。

雖然,影印店的電腦有安裝卡巴斯基的防毒軟體 (還裝兩個版本,而且,還是工程師幫他們安裝的,哇勒),但都沒有更新掃描引擎和病毒碼 (因為沒有網路),可想而知,一定是偵測不到這隻病毒和比較新型態的病毒。當然,好人做到底,靠著一雙手和一個腦袋戰勝病毒,把它給解決掉了,老闆很感謝囉!

由解決的過程中,知道這個病毒有下面的行為:

[Added process]
c:\windows\mdm.exe

[DLL injection]
不知有沒有,因為當時沒有工具,所以,無法得知,但這隻病毒具有看門狗 (Watchdog) 的功能,當砍掉病毒檔案和註冊碼後,會再產生原本的病毒檔案和註冊碼。

[Addded file]
c:\windows\svchost.exe (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\svchost.ini (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\system\svchost.exe (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\mdm.exe (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\system32\usbmons.dll (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\system32\usbmons.exe (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\system32\inetsrv.exe

[Added registry]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run||Value=SVCHOST||Data=c:\windows\mdm.exe

[隨身碟]
當隨身碟插入 USB 插槽之後,系統就會立刻自動執行 (Autorun 或 Autoplay) 隨身碟的某些檔案,就在這個時後,病毒就會感染隨身碟,寫入一個惡意檔案和或一個自動執行檔案:

g:\autorun.inf (病毒會修改這個黨案)
g:\RavMon.exe (隱藏檔系統唯讀檔,屬性為 HSR,Symantec 偵測為 W32.Rajump)

usb_infection.png

如果你的隨身碟已經被病毒感染,當你將隨身碟插入你的電腦時,你的系統將會被這隻病毒所感染。

如何清除這隻病毒:

1. 將電腦切換至安全模式 (並不是所有的狀況皆適用)

2. 進入命令列模式,利用命令 attrib,使惡意檔案 (隱藏檔系統唯讀檔) 一一現形

cmd.png

attrib.png

3. 將惡意檔案刪除或更名 (比較保險的做法)

4. 打開註冊碼編輯器,將惡意的註冊碼刪除

regedit.png

5. 重新開機,然後,系統應該恢復正常狀態。

6. 清除隨身碟上的病毒。注意,如果你不想在插入隨身碟時中毒,當隨身碟插入系統時,記得一直按著「Shift」鍵。

到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:

inetsrv.exe:
[ Trend ], “WORM_SMALL.FAY”
usbmons.exe:
[ Trend ], “TROJ_DELF.BUQ”
svchost.exe:
[ Trend ], “WORM_AGENT.FYS”
usbmons.dll:
[ McAfee ], “New DLL-b !!”
MDM.EXE:
[ Symantec ], “Trojan Horse”
[ Kaspersky ], “PAK:NPack, Trojan.Win32.Agent.aei”
[ Fortinet ], “suspicious”
[ Rising ], “Trojan.Agent.ajm”
SVCHOST.EXE:
[ Symantec ], “W32.Rajump”
[ Kaspersky ], “PAK:NPack, Trojan.Win32.Agent.abt”
[ Panda ], “Trj/Agent.DQZ”
[ Nod32 ], “probably unknown NewHeur_PE virus [7]“
[ Fortinet ], “W32/Agent.ABT!tr”
[ HBEDV ], “TR/Agent.abt.3″
[ Norman ], “Trojan W32/Agent.AXAF”
[ Rising ], “Trojan.Agent.afz”
[ Ewido ], “Trojan.Agent.abt”
[ Ahnlab ], “infected by Win-Trojan/Agent.49242″
[ Grisoft ], “Trojan horse Generic2.UTK”

請各位檢查一下自己的隨身碟或電腦是不是有這隻病毒,如果是中其他的病毒,請分享一下囉。

至於如何預防隨身碟中毒,明天我會再寫另一篇文章說明。

工具教學, 惡意程式, 網站安全 | 瀏覽數:542 | 0 迴響 »

如何辦識系統上有沒有惡意程式或間諜軟體(下)

2007 年 01 月 07 日 – 22:33:00

8.網路監控工具(Network Monitor Tool):這個工具可以在本機或遠端機器上監控網路封包,以檢測是否有異常的網路封包流量可能是由惡意程式或間諜軟體所造成的。比較常使用的工具是Ethereal。

9.多合一檢測工具(All-In-One Checking Tool)[9]:這個工具整合了檔案和註冊碼檢測的功能,讓你一目了然系統上有哪些檔案和註冊碼產生了變化。有些商用版本甚至包含執行程序、服務埠和網路封包監控等功能。使用這個工具要注意的是它不能看到隱藏行為。比較常使用的工具HijackThis。

hijackthis.jpg
10. 隱藏行為檢測工具(Hidden Behavior or Rootkit Checking Tool):上面幾個工具都使用過了,你還是覺得系統怪怪的,你可以使用檢測隱藏行為的工具檢查你的系統是否已經感染了惡意程式或間諜軟體。比較常使用的工具是IceSword。

icesword.jpg
11. 救援系統光碟(Rescue System CD):最後,如果你還是懷疑你的系統,你可以使用救援系統光碟將系統切換至另一個系統,然後,檢測原本的系統是否已經感染了惡意程式。使用這個工具之前是你已經做好相關的準備工作,像是已經做了一份系統檔案完整性列表或是已經準備好了防毒軟體(有些防毒軟體已經與救援系統光碟整合在一起了,你可以打電話詢問廠商)。比較常使用的工具是微軟提供的WinPE或是免費的BartPE。

bartpe.jpg

如果你真的要學會如何辨識系統上有沒有惡意程式或間諜軟體,你就必須學會這些工具,否則,只好求助別人。

< 辨識系統上是否存在惡意程式的流程>

在下圖中,菱形圖形的部分,你自己可以選擇哪些要做檢查、哪些不要做檢查或是全部都要做檢查。這些步驟都很花費時間,所以,你必須要有耐心的一一的檢查。

flow.jpg
下圖是把之前學到的偵測工具做一個列表清單,以方便讀者參考。

checklist.jpg

在這篇文章中,我只是簡略地介紹如何辦識系統上有沒有惡意程式。如果你要成為所謂的惡意程式分析辨識專家,也可以透過正規的惡意程式分析教育訓練,快速地學習到這些分析技巧和經驗。最後,你必須要很有耐心以及要有努力不懈的精神,一直重複練習,方能成功。

注意:如果各位知道有更好的工具的話,請不吝於分享,謝謝。

參考文件:

[1] 防毒軟體或反間諜軟體:依個人喜好,從防毒軟體廠商網站,選擇幾個產品或是連結到http://www.malware-test.com/tw/related_links.html

[2] 檔案完整性檢測工具:MD5 (http://userpages.umbc.edu/~mabzug1/cs/md5/md5.html)

[3] 執行程序分析工具:Process Explorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html)

[4] 註冊碼監控工具:RegMon (http://www.sysinternals.com/Utilities/Regmon.html)

[5] 自動執行檢測工具 (http://www.microsoft.com/technet/sysinternals/SystemInformation/Autoruns.mspx)

[6] 檔案監控工具: FileMon (http://www.sysinternals.com/Utilities/Filemon.html)

[7] 服務埠監控工具:TCPView (http://www.sysinternals.com/Utilities/TcpView.html)

[8] 網路監控工具:Ethereal (http://www.ethereal.com/)

[9] 多合一檢測工具HijackThis (http://www.merijn.org/programs.php#hijackthis)

[10] 隱藏行為檢測工具:IceSword (http://www.blogcn.com/user17/pjf/index.html)

[11] 救援系統光碟:WinPE (http://www.microsoft.com/taiwan/business/licensing/programs/sa/benefits/winpe.mspx)或是BartPE(http://www.nu2.nu/pebuilder/)

[12] 自動啟動註冊碼:惡意程式最常修改系統的哪些地方 (http://malware-test.com/smf/index.php?topic=1117.0)

工具教學 | 瀏覽數:442 | 0 迴響 »

如何辦識系統上有沒有惡意程式或間諜軟體(上)

2007 年 01 月 07 日 – 21:45:00

從許多討論區中得知,很多人都一直重複再問的問題 如何辦識系統上有沒有惡意程式或間諜軟體如何清除系統上的惡意程式或間諜軟體。這一篇文章中,我會以很簡單的方式來說明如何辦識系統上有沒有惡意程式或間諜軟體,在另一篇文章中,我也會以同樣的方式說明如何清除系統上的惡意程式或間諜軟體。

< 十種必備的檢測與防護工具>

如果你想要辨識系統上有沒有惡意程式或間諜軟體(從這之後,皆通稱為惡意程式),你必須要熟悉下面幾個工具,在這裡,我只會以簡單的方式來說明(以後,會再說其他的文章,詳細說明它們的使用方法)和以圖表的方式來表示:

1. 防毒軟體(AntiVirus Software)或反間諜軟體(AntiSpyware Software):如果防毒軟體或反間諜軟體可以偵測到惡意程式,而且,你沒有其他的疑慮的話,你就不需要使用其他工具。在這裡要特別強調一點,現在新版的防毒軟體幾乎都已經整合反間諜軟體的功能,而反間諜軟體也紛紛整合防毒軟體的功能。

2. 檔案完整性檢測工具(File Integrity Checking Tool):這個工具是要檢測檔案是否已經遭到竄改。在一個上線系統(Online System)上,有時候會因為惡意程式使用一些特別的技術,使得它可能會失效,所以,有時候我們會在離線系統(Offline System)上使用它。在使用這個工具之前,你必須已經做好一份系統檔案完整性列表,否則,這個工具就不能發揮功效。比較常使用的工具是MD5。

3. 執行程序分析工具(Running Process Analysis Tool):這個工具是要即時查看系統上有那些正在執行程序。如果你覺得有一些執行程序很可疑的話,你可以利用搜尋引擎查看網路上的相關訊息。使用這個工具要注意的是它不能看到隱藏行為(Rootkit)的執行程序。比較常使用的工具是SysInternals的Process Explorer。

process.png
4. 註冊碼監控工具(Registry Monitor Tool):這個工具是要查看系統上註冊碼的變化。使用這個工具要注意的是它不能看到隱藏行為(Rootkit)的註冊碼。比較常使用的工具是SysInternals的Registry Monitor。

registry.png
5. 自動執行檢測工具 (AutoRun or AutoStart Checking Tool):這個工具是要檢測系統上有哪些地方可以使應用程式自動執行起來。比較常使用的工具是SysInternals的AutoRuns。

autoruns.png
6. 檔案監控工具(File Monitor Tool):這個工具是要即時查看系統上檔案的變化。使用這個工具要注意的是它不能看到隱藏行為的檔案存取。比較常使用的工具是SysInternals的File Monitor。

filemon.png
7. 服務埠監控工具(Port Monitor Tool):這個工具是要查看系統上服務埠開啟的狀態,以研判是系統上是否有惡意程式或間諜軟體。使用這個工具要注意的是它不能看到隱藏行為的服務埠狀態。比較常使用的工具是微軟提供的內建命令netstat或是SysInternals的TCPView。

tcpview.png

(待續)

工具教學 | 瀏覽數:427 | 0 迴響 »

Rootkit Internals Workshop 講義開放下載 !!

2006 年 12 月 20 日 – 09:08:00

Rootkit 到底是什麼呢?
為什麼越來越多人在關心及討論 Rootkit 呢?
為什麼越來越多的惡意程式及間諜軟體利用 Rootkit 的技術,以達成特定的目的呢?
為什麼 IT/IS 管理人員這麼擔心 Rootkit 的入侵呢?
為什麼 Rootkit 已經成為資安管理最大風險所在呢?
那 Rootkit 又會對個人及企業帶來什麼危害呢?

Malware-Test Lab 在95年12月16日特別舉辦「Rootkit Internals Workshop」,由 Malware-Test Lab 的資安專家為您介紹及講解 Rootkit 的技術,讓您了解 Rootkit 的行為及危害程度,並告訴您如何辨識、清除及防護您的系統,不受到 Rootkit 的干擾。

研討會講義已開放下載,如果對這個主題有興趣的人,可以從下面的連結下載檔案:

Rootkit Internals Workshop 講義

工具教學, 研討會講義/資安文章 | 瀏覽數:814 | 2 迴響 »

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).