惡意程式分析工具(3) ShowHidden 下載：http://antbsd.twbbs.org/~ant/antivirus/ShowHidden.com 優點：可處理 HijackThis 與 SREng 沒辦法找出的問題。 缺點：無法處理高階 Rootkit 惡意程式。 建議：適合當作最後的診斷工具。 從 2.0.0 版之後，支援目前主流的 Windows 系統 (2000, XP, 2003, Vista)。 2.1.0 版之後，新增 catchme 分析潛藏的藏隱程序。 產生報告 下載後直接執行。執行時，請不要動電腦。 結束後，會在桌面產生 ShowHidden.txt 檔， 將檔案上傳到 http://kotuha.com/，供安全人員進一步分析。 報告解說 目前的 2.1.1 版有 11 個分析區段： Stage 1: 避免惡意程式反制 有些惡意程式會禁止安全工具的執行， 第 1步驟就是檢查並解除反制 ShowHidden 的機制， 也解除反制 HijackThis 與 SREng 的機制。 Stage 2: 系統資訊 列出本機系統的資訊。 Stage 3: 近期建檔文件與目錄 分析最近 7日與 30日的文件與目錄，及其權限與大小等。 Stage 4: 執行的程序 列出目前正在執行的程序。包含佔用記憶體大小及 CPU 使用率。 Stage 5: 函式庫 列出執行程序所使用的函式庫 Stage 6: 機碼(Registry) 列出惡意程式可能藏身的機碼。 Stage 7: 隱藏檔列表 列出隱藏檔。 Stage 8: Host file 列出本機 hosts file Stage 9: 自動執行檔 列出自動執行檔(Autorun.inf)及其執行的內容。 Stage 10: ARP Spoofing Checker 檢測是否有 ARP 欺騙。 Stage 11: 隱藏程序、機碼 檢測是否有隱藏程序、機碼。 結束後，報告會產生在 %SystemDrive%\ShowHidden_Report.txt。 通常會是在 C:\ShowHidden_Report.txt。 補充 這個工具的目的是為了取代 ComboFix。 ComboFix 的設計有許多缺陷，以安全角度而言， 建議在安全人員的指導下，才使用 ComboFix。 原因如下： 1. ComboFix 會刪除(惡意?)檔案與目錄 執行 ComboFix 會開始掃瞄系統，並會"自動"刪除它所認為的惡意檔案與目錄。 聽起來好像沒有什麼問題。 但問題出在，ComboFix 判斷惡意程式的方式 - "檔名比對式"。 檔名比對的方式早就被各家防毒軟體廠商所放棄。 原因很簡單，因為這是誤判率最高的方法。 目前我所看過最簡單的防毒軟體，至少也用誤判率低很多的"特徵碼比對"。 那麼"檔名比對式"有什麼缺點？ 舉例來說，ComboFix 會刪除 C:\WINDOWS\System32\atmem.dll 這個檔。 因此只要在 C:\WINDOWS\System32 目錄，名 atmem.dll 的檔都會被認為惡意程式。 不管他的大小、以及是否真的是惡意程式。 更可怕的是，ComboFix 也使用了 Regular Expression 的檔名判斷方式。 不懂沒關係，意思是在 ComboFix 裡，它認為這型式都是惡意程式。 C:\myalbum*.zip 這是指在 C:\ 這個目錄下，只要我的名稱開頭是 myalbum，結尾是 .zip 的都刪掉。 不管是 myalbum1.zip, myalbumABC.zip, myalbum123456789.zip 都刪。 那就保祐使用者不會剛好就在 C:\ 放他最珍愛的相簿 myalbum-2007.zip。 或許有人會說，"可是 ComboFix 對移除的檔有備份呀"。 我只能說，"什麼檔案有用，使用者說的算"。 況且 ComboFix 不是每個檔都備份，還要看情況。 安全人員永遠不會知道 C:\myalbum-2007.zip 是不是對方不想刪掉的。 而且我敢保證，絕大多數的"對方"，壓根不會去看那個 LOG。 等到對方把 ComboFix 目錄砍掉了(毒都解了，放著佔空間是吧!!) 事過半年才想到 2007 年的相簿放在 C:\myalbum-2007.zip ..... 搞不好還有 2006, 2005, 2004 ... 各位大大，我相簿不見了，我是不是被入侵啦！！！ 2. ComboFix 會寫入 Registry(機碼) 雖然這不是什麼嚴重的事，但在人家地盤上寫上東西又不清掉， 似乎不是一件好事。 3. 難懂 這是我看過最難懂的程式碼，整個程式雜亂無章， 沒有一個完整的規劃，刪檔的列表還分別由兩個程式控制， 這種情形族繁不及載。 對程式人員而言，難維護的程式正代表著他的問題會很多。 我個人是不敢用一個問題會很多的程式，哪怕有天把我心愛的東西弄不見了。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.167.59.179