惡意程式分析工具(1) HijackThis 網頁：http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis 下載：http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe 優點：有網站提供自動分析，加快真偽的判斷速度。 缺點：功能有限，僅能處理部分惡意程式。 建議：適合當作第一個分析工具，先對問題有一個概觀。 產生報告 執行後，選擇【Do A System Scan And Save A Logfile】，並等待幾分鐘， 此期間不要動電腦。 結束後，會產生 hijackthis.log，這是純文字檔。開啟後，將內容貼到網路空間上。 處理流程 Log 貼到 "http://hijackthis.de/" 分析 ( 如圖1: http://tinyurl.com/29vbpr ) ↓ 分析產生的報告 ↓ 首先要注意: (如圖2: http://tinyurl.com/24l9gl ) 第1列: HijackThis 版本 (1) 第2列: Windows 版本與 Sevice Pack 版號 (2) 第3列: MSIE 版本 (3) 第4列: 開機模式 (4) ↓ 第二步: 快速掃過 Kind 欄位。 (如圖3: http://tinyurl.com/yqpyyj ) 紅色 X 記號：建議刪除 (5) 黃色 X 記號：可安全刪除 (6) 黃色 ? 記號：無法判斷，需人工解讀 (7) (如圖4: http://tinyurl.com/2hdz2l ) 白色盾牌：系統安裝的掃毒/防木馬軟體 (8) 防火牆圖：防火牆軟體 (9) ↓ 第三步: 快速掃過 Vistor's assessment 欄位 尋找有 nasty 的字串 (如圖4: http://tinyurl.com/2hdz2l ) 防火牆該項看似安全，但 Vistor's 欄位顯示危險， 表示雖然 avp.exe 通常是防火牆程式名稱， 但不應該出現在 C:\WINDOWS\avp.exe 路徑。 因此警告這是可疑的程式。 ↓ 將所有要修復的項目"選取(fix)"， 然後修復。 ↓ 完成 說明 (1) HijackThis 舊版的功能比較少，較不能找出潛藏的問題。 (2) 不同版本 Windows 解法有些許不同，雖然對 HijackThis 沒有影響， 但對於後續幾章的其它工具處理上能提供很多資訊。 另外，Service Pack 若沒有更新到最新情況， 可建議對方電腦優先更新，再重新用 HijackThis 分析。 (3) 舊版本的 MSIE 存在著許多安全漏洞，病毒處理完畢後，可建議更新。 (4) 注意開機模式，如果是 Safe(安全模式) 則請對方在正常模式下使用 HijackThis， 因為正常模式下惡意程式才有可能啟動，有啟動後才容易偵測。 除非有其它因素，如無法正常模式開機時。 (5) 網站建議刪除的值。可參考最右邊欄位的說明。 (6) 網站建議刪除的值。通常代表著檔案已移除，但機碼未清除。 (7) 網站無法判斷。這時需要蒐集檔名/路徑/機碼等資訊， 在 Google 上尋找是否已證實為惡意程式。 (8) 此程式為安全防護軟體。若發現未裝防毒軟體，可建議安裝。 (9) 此程式為防火牆軟體。若發現未裝，可建議安裝。 實戰 如果你拿到以下的 HijackThis Log 。你會怎麼處理？ 案例1: http://antbsd.twbbs.org/~ant/antivirus/tutorial/HijackThis_Sample1.txt 案例2: http://antbsd.twbbs.org/~ant/antivirus/tutorial/HijackThis_Sample2.txt 解答 案例1: 修復如下 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-00... O20 - Winlogon Notify: usbmon - C:\WINDOWS\system32\usbmons.dll (file.. O23 - Service: PnP plug 0n Service - Unknown owner - O23 - Service: Audio Adapter (VGADown) - Unknown owner - C:\WINDOWS\avp.exe 案例2: 不需分析，請對方下載最新版的 HijackThis 重新分析。 補充 如果是 O10 項有問題，直接用 HijackThis 修復可能會發生無法上網的情形， 此時有兩種解決方式。 1. 在修復 O10 項前，Windows XP 版本請先下載 WinSockXPFix http://www.pchell.com/downloads/WinsockXPFix.exe Windows 2000 以前版本請下載 WinSockFix http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml 在修復後若發現無法上網，則使用這些工類修復。 2. 不使用 HijackThis 修復 O10 項，改用 LSP-Fix 修復。 http://cexx.org/lspfix.htm 執行後，勾選 "I know what I'm doing"，然後在左邊選擇有問題的清單， 再按中間的 ">>" 鍵將項目移到右邊，最後按右下角的 "finish >>" 即可。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.167.59.179 ※ 編輯: blman 來自: 218.167.59.179 (11/04 12:20)