作者olliekr (Love Simulator)
看板AntiVirus
標題[提醒] Avenger 使用注意事項
時間Sat Jun 9 11:09:43 2007
其實之前就有打算把這個軟體介紹給大家
只是因為一直沒有很完整的時間把Swandog網頁上的資料整理好
最近看不少大大也開使用Avenger了
很好 因為Avenger載入系統的時間點很早 用它來刪除惡意程式很有效
對於一些電腦知識很入門的使用者 Avenger可以讓他修復時不至於太複雜
我看了一下 大致的用法大家都沒什麼大問題
所以稍微整理一下一些注意事項 跟大家分享分享 互相提醒
1. Avenger不認識中文,請不要叫它移除有中文路徑或檔名的檔案
2. Avenger只認得HKLM/HKU底下的登錄檔,請不要叫它移除HKCU
3. REGISTRY KEY和REGISTRY VALUE要分清楚,Key在視窗左邊,Value在視窗右邊
4. DRIVER指令要搭配Service Name,不是Display Name,分不清楚的可以爬一下我的文
5. 當你發現一個惡意的DRIVER,不要只移除檔案,一定要搭配Drivers To Unload
也不要用REGISTRY KEYS TO DELETE刪除DRIVER,這指令的優先權不夠
有些Drvier如果沒有先Unload 會因為找不到檔案 造成BSOD藍屏死機
6. Avenger目前只支援32位元的XP/2000
大致上是這樣 如果還有問題 歡迎提出來討論討論
題外話
有時候 載入系統早不見得有用
之前遇過一個大陸的惡意程式
它會透過Winlogon.exe注入DLL
要刪除DLL 就必須先結束Winlogon進程 但是一結束 你電腦也會馬上跟著結束...重開機
用一般的Killbox或OTMoveIt的重開機刪除 根本搶不贏Winlogon的載入點
後來用了Avenger 才發現這惡意程式奸詐之處
等你寫好Script 重開機的瞬間 它馬上會Random出一個新檔名
Avenger是在重開機 載入Windows的時候才執行 這時候Script認定的檔案早就改名了
刪都刪不到
後來是透過Process Explorer把DLL卸載掉 才順利刪除 <囧
另外 大陸似乎有一套xdelbox...很類似Avenger
沒用過 不知道安全性/穩定度如何
不過Avenger倒是許多西方論壇的常見工具
Swandog本身也是MS認可的MVP技術人員
用起來安心很多
有興趣研究Avenger的大大 可以去看看Swandog的網頁 有完整介紹(英文)
http://swandog46.geekstogo.com/avengernotes.htm
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.114.66.65
推 ases0118:感謝教導提醒:) 06/09 13:17