LV. 50
GP 2k

【討論】惡意軟體(木馬,間諜程式等)常用偵測/清除/防護工具(最後更新:12.17)

樓主 想妳的感覺 linhongjun
GP15 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

惡意軟體這個類別,除了病毒之外,我們更常見到的就是木馬,間諜和廣告程式.而通常來說,病毒相對於其它的幾類,都可以用防毒軟體直接清除.而與此不同的是,儘管目前很多防毒軟體都具備了偵測和清除木馬,間諜和廣告程式的功能.可實際上效果並非很理想.例如現在很流行的木馬程式,防毒軟體基本上都可以偵測到,卻只有少量的會徹底清除(刪除並不等於清除).

而一般情況下,清除木馬程式等,我們需要下面幾個步驟:

01. 防毒軟體偵測到木馬程式,此時可能會直接刪除,而重新開機後,卻又出現.
02. 通過啟動內容檢視/偵測工具,從系統的啟動中去掉相關內容,讓木馬程式無法自動啟動,從而避免刪除感染檔案後又再次出現的現象.一般這樣的木馬,都會在系統登錄檔中加入自己的訊息.這個步驟比較難,需要通過自己逐漸累積經驗,如果忽略一個位置,可能就前功盡棄.
03. 刪除相關檔案即可.無法正常刪除的檔案,可以通過Unlocker或者IceSword刪除,同時可在登錄檔中搜尋相關的關鍵詞並刪除.

下面提供幾種經常會使用到的偵測工具,同時也歡迎你來提供更好用的替代工具,或者針對特定病毒,木馬等的清除工具.

木馬/惡意程式等相關內容的偵測和處理工具:
Autoruns
系統啟動內容檢視工具,可檢視項目包含:開機啟動程式,加載系統服務,瀏覽器BHO,任務排程,映像劫持等.主要用於判斷在啟動進程中是否存在木馬程式的加載.同時,也可以檢視IE瀏覽器是否被某些程式所劫持.
進入官方頁面

Process Explorer
進程管理工具,是Windows內建工作管理器的增強版本,除了可以檢視進程訊息外,
還可以看到相關載入的DLL檔案,檔案簽署等內容.適合於判斷當前進程中是否包含不正常的程式在執行,也可以快速的檢視對應進程的位置,開發者,大小等訊息.

進入官方頁面

TcpView
TCP和UDP連接的檢視工具,可以看到當前本地電腦中所有程式的對外連接狀態,適合判斷木馬程式是否連接到遠程主機.
進入官方頁面

PortMon
電腦埠口檢視工具,類似TCPMon,但是針對目標不同,可配合使用.
進入官方頁面

FileMon
檔案檢視工具,可以查看當前執行中的程式的讀寫操作.
進入官方頁面

DiskMon
磁碟操作檢視工具,類似FileMon.
進入官方頁面

RegMon
登錄檔操作檢視工具,性質同DiskMon,但是針對目標為系統的登錄檔.
進入官方頁面

RootkitRevealer
Rootkit偵測工具.用於檢測系統中是否存在危險的Rootkit.
進入官方頁面

LoadOrder
系統加載清單和順序檢視程式,可以查看從系統啟動到進入桌面後,系統加載的所有檔案,用於判斷存在底層驅動中的惡意程式.
進入官方頁面

以上工具微軟有提供整合套件:進入官方頁面/直接下載套件.

IceSword
進程管理工具,學院派作品,是一款比Autoruns,ProceXP,Unlocker等更強大的綜合性工具,主要用途也是用於對木馬程式等可疑的內容進行偵測.
進入官方頁面

System Repair Engineer (SRENG)
用於調整,修復系統的安全輔助工具,搭配IceSword基本上可以滿足系統檢視,偵測,修復等功能,是居家使用外出旅行之必備.
進入官方頁面

Universal Extractor
安裝程式資源提取工具,可以提取各種安裝程式中的資源,以查看是否含有惡意程式等內容.對於那種檔案容量很小,而且自己感覺可疑的安裝程式,可以先提取,觀察其中是否含有類似雅虎工具列之類的程式.
進入官方頁面

Unlocker
進階的檔案刪除/重命名/複製/移動工具,主要用於刪除被系統鎖定或者無法直接刪出的檔案.
進入官方頁面

木馬/惡意程式等相關內容的清除和防護程式:
USBCleaner
針對隨身碟病毒和木馬的專屬清除工具,主要處理點選磁碟機後無法打開窗口,必須使用其他方式進入,以及(非光碟機中)滑鼠右鍵選單中出現AutoPlay,自動播放等字樣的問題.
進入官方頁面

AutoFireWall
針對隨身碟病毒和木馬的專屬防護工具,在開啟的狀況下,可以防止此類木馬程式和病毒的執行.
進入官方頁面

惡意軟體查殺助理
惡意軟體例如木馬,間諜程式以及相關的掃瞄和清除程式,可以線上更新.
進入官方頁面

Autorun病毒防禦者
同樣是針對Autorun類型的木馬和病毒的監控,掃瞄,清除程式,同時也可進行修復.
進入官方頁面


雖然說通過這些方法,我們可以清除電腦系統中的惡意軟體,可養成良好的上網習慣,可以大量的減少這些問題出現的機率.例如:

01. 對於不確定的網站,可以先禁用瀏覽器的Script解析功能,增強安全性.這樣可以避免惡意腳本的執行,也大大降低了通過瀏覽器下載安裝木馬程式的可能性.
02. ActiveX雖然存在一定的危險,可在安裝之前,對其發佈者進行確認.例如安裝Adobe Flash Player,那我們完全可以先Adobe的官方網站安裝.避免在某些網站安裝被修改後的ActiveX元件.
03. 避免使用網路線上遊戲的外掛程式,大部分外掛都綑綁有盜取遊戲帳號的木馬.
04. 安裝比較適合的防毒軟體,防火牆,同時針對廣告/間諜程式可以選擇性的安裝.
05. 下載檔案,儘量通過官方網站,而不是那種小型的軟體下載站點.
06. 避免安裝軟體附帶的工具列.如果喜歡,可以直接去Google或者Yahoo等網站下載.
07. 定期從作業系統官方網站獲取安全更新和修補程式,減少因為漏洞而產生的風險.
08. 使用即時通訊軟體時(例如雅虎即時通,MSN,ICQ等),不可輕易接受對方發送的檔案,
就算是好友,也要確認後才可.
09. 使用P2P軟體(例如BT,EM,FOXY,SHARE等)下載,請於下載後使用防毒軟體進行掃瞄.
10. 網路遊戲中不要將自己的帳號及相關資料告知其他人.
11. 在註冊網站時,大部分中小型網站的註冊可以使用自己編造的一套資料,避免個人訊息洩漏.網站註冊時所使用的電子信箱地址,可以單獨註冊一個免費地址專用於註冊.
12. 勿將重要資料,商業機密等放於連接到網路的電腦中,請自行備份.
13. 請愛用
TweakUI將光碟機,硬碟,隨身碟的Autorun和AutoPlay功能禁用,減少此類病毒的感染.打開隨身碟時,養成一個愛用右鍵選單開啟的習慣.

本文只做引導之用,希望能拋磚引玉,讓大家在使用電腦的過程中,對於一些問題可以舉一反三,不局限於固定的思考模式.也歡迎大家提供相關的內容和資訊,在此回文即可.
15
-
LV. 50
GP 2k
2 樓 www.AtLin.cn linhongjun
GP0 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

[url=http://cid-ac31052bf2b8ca11.skydrive.live.com/browse.aspx/Public/Toolkits][font= size= color=red]相關電腦工具也可以到這裡下載.[/font][/url] 由我個人上傳,會定期進行更新.包含上面提到的所有工具. 如果發現新版本而沒有更新到,請站內信通知我,謝謝. 該空間內所有軟體/工具的版權均歸屬於原作者.
0
-
LV. 19
GP 49
3 樓 寧寧O.O Artemis0o0
GP0 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

※ 引述《linhongjun (想妳的感覺)》之銘言:

> 木馬/惡意程式等相關內容的清除和防護程式: 
> USBCleaner 
> 針對隨身碟病毒和木馬的專屬清除工具,主要處理點選磁碟機後無法打開窗口,必須使用其他方式進入,以及(非光碟機中)滑鼠右鍵選單中出現AutoPlay,自動播放等字樣的問題. 
> 進入官方頁面 
> AutoFireWall 
> 針對隨身碟病毒和木馬的專屬防護工具,在開啟的狀況下,可以防止此類木馬程式和病毒的執行. 
> 進入官方頁面 
> 惡意軟體查殺助理 
> 惡意軟體例如木馬,間諜程式以及相關的掃瞄和清除程式,可以線上更新. 
> 進入官方頁面 
> Autorun病毒防禦者 
> 同樣是針對Autorun類型的木馬和病毒的監控,掃瞄,清除程式,同時也可進行修復. 
> 進入官方頁面 


@@大大分享的@@ 我記憶中是以上幾個中@@ 其中一個...下載時有木馬@@
實在嚇死我@@" 我以為巴哈最安全>.<a 
我不是>< 說大大分享的不好....  只是.....我也不知道怎說@@
只是...請大家也小心點....~"~ 萬中找防毒...不小心中毒就不好了QQ

還是很感謝 大大的教學和 分享....^^"


0
-
未登入的勇者,要加入 4 樓的討論嗎?
板務人員:歡迎申請板主

183 筆精華,04/15 更新
一個月內新增 0
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】