http://rogerspeaking.com ~分享是進步的原動力~ Sat, 22 Jan 2011 06:38:15 +0000 en hourly 1 http://wordpress.org/?v=3.0.4 http://rogerspeaking.com/2007/07/472 http://rogerspeaking.com/2007/07/472#comments Wed, 11 Jul 2007 06:34:00 +0000 Roger http://itinternals.com/wptest/?p=470 http://rogerspeaking.com/2007/07/472/feed 2 http://rogerspeaking.com/2007/07/467 http://rogerspeaking.com/2007/07/467#comments Tue, 10 Jul 2007 10:52:00 +0000 Roger http://itinternals.com/wptest/?p=465 http://rogerspeaking.com/2007/07/467/feed 0 http://rogerspeaking.com/2007/01/122 http://rogerspeaking.com/2007/01/122#comments Sun, 28 Jan 2007 12:33:00 +0000 Roger http://itinternals.com/wptest/?p=120 http://rogerspeaking.com/2007/01/122/feed 2 http://rogerspeaking.com/2007/01/115 http://rogerspeaking.com/2007/01/115#comments Thu, 25 Jan 2007 16:19:00 +0000 Roger http://itinternals.com/wptest/?p=113 http://rogerspeaking.com/2007/01/115/feed 0 http://rogerspeaking.com/2007/01/109 http://rogerspeaking.com/2007/01/109#comments Wed, 24 Jan 2007 09:01:00 +0000 Roger http://itinternals.com/wptest/?p=107 http://rogerspeaking.com/2007/01/109/feed 0 http://rogerspeaking.com/2007/01/104 http://rogerspeaking.com/2007/01/104#comments Tue, 23 Jan 2007 09:39:00 +0000 Roger http://itinternals.com/wptest/?p=102 http://rogerspeaking.com/2007/01/104/feed 0 http://rogerspeaking.com/2007/01/90 http://rogerspeaking.com/2007/01/90#comments Fri, 19 Jan 2007 23:50:00 +0000 Roger http://itinternals.com/wptest/?p=88 http://rogerspeaking.com/2007/01/90/feed 0 http://rogerspeaking.com/2007/01/49 http://rogerspeaking.com/2007/01/49#comments Sun, 07 Jan 2007 14:33:00 +0000 Roger http://itinternals.com/wptest/?p=47 在下圖中，菱形圖形的部分，你自己可以選擇哪些要做檢查、哪些不要做檢查或是全部都要做檢查。這些步驟都很花費時間，所以，你必須要有耐心的一一的檢查。 下圖是把之前學到的偵測工具做一個列表清單，以方便讀者參考。 在這篇文章中，我只是簡略地介紹如何辦識系統上有沒有惡意程式。如果你要成為所謂的惡意程式分析辨識專家，也可以透過正規的惡意程式分析教育訓練，快速地學習到這些分析技巧和經驗。最後，你必須要很有耐心以及要有努力不懈的精神，一直重複練習，方能成功。 注意：如果各位知道有更好的工具的話，請不吝於分享，謝謝。 參考文件： [1] 防毒軟體或反間諜軟體：依個人喜好，從防毒軟體廠商網站，選擇幾個產品或是連結到http://www.malware-test.com/tw/related_links.html [2] 檔案完整性檢測工具：MD5 (http://userpages.umbc.edu/~mabzug1/cs/md5/md5.html) [3] 執行程序分析工具：Process Explorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html) [4] 註冊碼監控工具：RegMon (http://www.sysinternals.com/Utilities/Regmon.html) [5] 自動執行檢測工具 (http://www.microsoft.com/technet/sysinternals/SystemInformation/Autoruns.mspx) [6] 檔案監控工具: FileMon (http://www.sysinternals.com/Utilities/Filemon.html) [7] 服務埠監控工具：TCPView (http://www.sysinternals.com/Utilities/TcpView.html) [8] 網路監控工具：Ethereal (http://www.ethereal.com/) [9] 多合一檢測工具HijackThis (http://www.merijn.org/programs.php#hijackthis) [10] 隱藏行為檢測工具：IceSword [...]]]> http://rogerspeaking.com/2007/01/49/feed 0 http://rogerspeaking.com/2007/01/48 http://rogerspeaking.com/2007/01/48#comments Sun, 07 Jan 2007 13:45:00 +0000 Roger http://itinternals.com/wptest/?p=46 如果你想要辨識系統上有沒有惡意程式或間諜軟體(從這之後，皆通稱為惡意程式)，你必須要熟悉下面幾個工具，在這裡，我只會以簡單的方式來說明(以後，會再說其他的文章，詳細說明它們的使用方法)和以圖表的方式來表示： 1. 防毒軟體(AntiVirus Software)或反間諜軟體(AntiSpyware Software)：如果防毒軟體或反間諜軟體可以偵測到惡意程式，而且，你沒有其他的疑慮的話，你就不需要使用其他工具。在這裡要特別強調一點，現在新版的防毒軟體幾乎都已經整合反間諜軟體的功能，而反間諜軟體也紛紛整合防毒軟體的功能。 2. 檔案完整性檢測工具(File Integrity Checking Tool)：這個工具是要檢測檔案是否已經遭到竄改。在一個上線系統(Online System)上，有時候會因為惡意程式使用一些特別的技術，使得它可能會失效，所以，有時候我們會在離線系統(Offline System)上使用它。在使用這個工具之前，你必須已經做好一份系統檔案完整性列表，否則，這個工具就不能發揮功效。比較常使用的工具是MD5。 3. 執行程序分析工具(Running Process Analysis Tool)：這個工具是要即時查看系統上有那些正在執行程序。如果你覺得有一些執行程序很可疑的話，你可以利用搜尋引擎查看網路上的相關訊息。使用這個工具要注意的是它不能看到隱藏行為(Rootkit)的執行程序。比較常使用的工具是SysInternals的Process Explorer。 4. 註冊碼監控工具(Registry Monitor Tool)：這個工具是要查看系統上註冊碼的變化。使用這個工具要注意的是它不能看到隱藏行為(Rootkit)的註冊碼。比較常使用的工具是SysInternals的Registry Monitor。 5. 自動執行檢測工具 (AutoRun or AutoStart Checking Tool)：這個工具是要檢測系統上有哪些地方可以使應用程式自動執行起來。比較常使用的工具是SysInternals的AutoRuns。 6. 檔案監控工具(File Monitor Tool)：這個工具是要即時查看系統上檔案的變化。使用這個工具要注意的是它不能看到隱藏行為的檔案存取。比較常使用的工具是SysInternals的File Monitor。 7. 服務埠監控工具(Port Monitor Tool)：這個工具是要查看系統上服務埠開啟的狀態，以研判是系統上是否有惡意程式或間諜軟體。使用這個工具要注意的是它不能看到隱藏行為的服務埠狀態。比較常使用的工具是微軟提供的內建命令netstat或是SysInternals的TCPView。 (待續)]]> http://rogerspeaking.com/2007/01/48/feed 0 http://rogerspeaking.com/2006/12/19 http://rogerspeaking.com/2006/12/19#comments Wed, 20 Dec 2006 01:08:00 +0000 Roger http://itinternals.com/wptest/?p=17 http://rogerspeaking.com/2006/12/19/feed 2