LV. 44
GP 949

【攻略】「SREng操作簡介及惡意程式處理流程_V2」電子書

樓主 ◤★ 掠過無痕 ★◢ wellss
GP5 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。


「SREng操作簡介及惡意程式處理流程_V2」電子書


這邊我簡單說明一下說明書用法:

1.按快速鍵 CTRL + F 可以在單篇文章內快速搜尋文字。
2.切換到「索引」頁可以依文章標題搜尋。
3.切換到「搜尋」頁可對關鍵字進行搜尋。

這份教學電子書歡迎轉載,不過著作權歸 star000star 所有。
至於教學內的附帶出處文章,著作權皆歸該文原創作者所有。
教學網頁版 star000star 將不定期翻新,但教學電子書只會擇有空之日更新;
此外分流之載點若失連恕不補檔,請改用其它空間下載。

電子書之 MD5 及 SHA-1 如下 (非壓縮檔及壓縮檔):
MD5:426EEB7458AA151300C4F6572D90E7F2
SHA-1:78F8BDDEC88C824368BBF5CFC1719D817407BC56
壓縮檔
SHA-1:C532962AEBD55FADEC3795B11B0DACED17E15663

由於多家免空已經失連或暫時關站,故改由 dropbox 空間分享,
有興趣的人可以利用此連結下載 chm 電子書:

Dropbox載點:http://dl.dropbox.com/u/58595124/SREng操作簡介及惡意程式處理流程_V2.chm
Google載點:https://drive.google.com/uc?export=download&id=0B7OOPCwmysOoYU9ZWW15akhJMjg
此分享僅轉載至微風論壇、巴哈網路暨遊戲安全防護板。
祝大家學習除毒愉快      


============= 2009/12/14 ===============
修正 SRENG 淺談的連結、錯字,及將 PDF 簡體檔案收錄於 CHM 中

============= 2011/06/30 ===============
補充及修改原篇 SRENG 中的增修部份,並修正一些失連連結。

============= 2011/12/17 ===============
因多數載點全數失連,故重新上傳。
============= 2012/1/25 ===============
由於 MEGAUPLOAD 被美國 FBI 查封造成各家其他免空暫時關站或自我審查內容,導致檔案
內容被刪除或無法連結,故改用 DROPBOX 空間提供下載。

============= 2016/3/15 ===============
因個人
DROPBOX 空間流量限制被暫時關閉,故補充GOOGLE載點下載。


SREng操作簡介及惡意程式處理流程_V2由
star000star製作,以創用CC 姓名標示-非商業性-禁止改作 3.0 台灣 授權條款釋出。
此作品衍生自「SREng操作簡介及惡意程式處理流程_V2.chm」電子書。
超出此條款範圍外的授權可於
http://bbs.wefong.com/viewthread.php?tid=1329211查閱。    
5
-
LV. 13
GP 85
2 樓 如夢似幻 star000star
GP0 BP-
wellss大您辛苦了,原本亂糟糟的教學被您整理的條理有序。
看您製作進度這麼快,我卻還累積了一堆待補充、修正的資訊沒進度…Orz

在這邊也請各位前輩、高手、各位巴友們,有什麼建議、需要改善的,都歡迎批評指教,也歡迎一起交流討論囉。
0
-
LV. 44
GP 955
3 樓 ◤★ 掠過無痕 ★◢ wellss
GP0 BP-
※ 引述《star000star (如夢似幻)》之銘言:
> wellss大您辛苦了,原本亂糟糟的教學被您整理的條理有序。 
> 看您製作進度這麼快,我卻還累積了一堆待補充、修正的資訊沒進度…Orz 
期待您整理出更多的好東西跟好料出來 :)
用了幾款工具後,我發現那個內核殺檔工具 The Avenger 從官網下來用會造成 XP SP3
無法開機,我試的還只是簡單的殺 C:\Windows\TEMP 動作而已。
雖然恢復只要一個很簡單的重開機再選一下「上一次的設定」就好了。
不過用了一次後覺的它很不穩定,冰劍就很少搞出這樣的事來...
下次 USER 有內核殺檔工具的需要時,我會盡量避開The Avenger。

> 在這邊也請各位前輩、高手、各位巴友們,有什麼建議、需要改善的,都歡迎批評指教,也歡迎一起交流討論囉。 
這邊您就是高手了呀。
補充,SRENG 會顯示一堆服務及驅動的情況通常都是一堆漏洞不修補造成的。
近期重新 UPDATE 後對照了一下驅動 SYSTEM32\DRIVER 下的無簽章項消失了。
只有未過簽章的才會跑去 SRENG 裡面來。
未修補更新之前,STOPPED 很多微軟驅動項目都是紅色的,修補好後這樣的狀況就不見了。

這讓我興起敗家買 WIN7 換系統的念頭,只是目前這台破電腦跟 7 是不相容的 (人家 486 都能裝我就不行 ...ORZ),不然升級系統是保障安全最好的良策。
現在還有不少使用者還在用 IE6、XP SP2,這樣上網要是不注意一下,人家要入侵真是輕而易舉。

至於 UAC 嘛,別提了 (微軟內心的痛) 木馬根本就是連理都不用理,直接穿過 VISTA/WIN 7 的 UAC 封殺:

Windows 7 UAC對戰惡意軟體,結果如何?專家告訴你!


0
-
LV. 14
GP 85
4 樓 如夢似幻 star000star
GP0 BP-
※ 引述《wellss (◤★ 掠過無痕 ★◢)》之銘言:
> 期待您整理出更多的好東西跟好料出來 :) 
> 用了幾款工具後,我發現那個內核殺檔工具 The Avenger 從官網下來用會造成 XP SP3 
> 無法開機,我試的還只是簡單的殺 C:\Windows\TEMP 動作而已。 
> 雖然恢復只要一個很簡單的重開機再選一下「上一次的設定」就好了。 
> 不過用了一次後覺的它很不穩定,冰劍就很少搞出這樣的事來... 
> 下次 USER 有內核殺檔工具的需要時,我會盡量避開The Avenger。 
這部份我覺得把The Avenger定義為會損害系統,這個結論有待商榷。
我手邊兩台XPSP3系統,都曾經用過The Avenger做測試,沒有您述說的問題。
再來經手的Case中,也都運用過The Avenger,並沒有發生任何問題。
跟前輩討論過這隻程式,在目前看過的案例裡頭,好像沒看到說The Avenger走內核導致系統崩困、損壞的。綜合以上資訊,我是認為問題或許出在操作。

您不妨試試看隨便對個檔案、資料夾清除吧?而不要拿他來清除系統的資料夾,或許有什麼抑制機制會與系統資料夾相衝也說不定,當然是純屬猜測,調用機制不清楚。
我個人是不會拿工具對系統資料夾、包括Temp整個做刪除,避免發生任何不可測的問題,就算有處理Temp需求也是使用較多人使用的ATF-Cleaner做處理,既方便也不會發生問題。The Avenger在我看來是一款很好用的工具,尤其是需要走Ring 0的情況。

> 補充,SRENG 會顯示一堆服務及驅動的情況通常都是一堆漏洞不修補造成的。 
> 近期重新 UPDATE 後對照了一下驅動 SYSTEM32\DRIVER 下的無簽章項消失了。 
> 只有未過簽章的才會跑去 SRENG 裡面來。 
> 未修補更新之前,STOPPED 很多微軟驅動項目都是紅色的,修補好後這樣的狀況就不見了。
原來是這種問題造成Services大量顯示嗎,我以前看過相關案例是驗證機制遭到屏障,不過通常碰到這種問題,因為Log判讀會很困難,實在也懶得看,都會習慣走以下兩個方案:
1.請User使用掃描器全機掃毒 + Windows Update到最新。
2.使用SREng「自動將可疑檔案複製到SuspiciousFiles子目錄裡面」之後整包壓縮檔拿來做驗證,以及VT掃描。


0
-
LV. 44
GP 958
5 樓 ◤★ 掠過無痕 ★◢ wellss
GP0 BP-
※ 引述《star000star (如夢似幻)》之銘言:
> 這部份我覺得把The Avenger定義為會損害系統,這個結論有待商榷。 
> 我手邊兩台XPSP3系統,都曾經用過The Avenger做測試,沒有您述說的問題。 
> 再來經手的Case中,也都運用過The Avenger,並沒有發生任何問題。 
> 跟前輩討論過這隻程式,在目前看過的案例裡頭,好像沒看到說The Avenger走內核導致系統崩困、損壞的。綜合以上資訊,我是認為問題或許出在操作。 
我可以確定操作沒有問題。
不過即使是處理一般的檔案或資料夾,跑一遍重開機後就會卡在跑馬燈的畫面。
也就是跑馬燈開始前就定住在那裡不動了,等待許久亦無結果。
我也排除了個人帳號資料夾權限 (很多程序安裝或RUN錯誤主因都出在這裡) 的問題;
因此目前只能跟原官網上報這個問題。

> 您不妨試試看隨便對個檔案、資料夾清除吧?而不要拿他來清除系統的資料夾,或許有什麼抑制機制會與系統資料夾相衝也說不定,當然是純屬猜測,調用機制不清楚。 
不,目前這狀況我清楚跟砍系統檔案本身無直接關聯,畢竟是內核工具,我也用冰劍同
動作試了一遍,結果是成功砍除,並無發生其它異狀。
而且程式在 RING0 級下所擁有之權限應當相同,除了少數例外如發生衝突,會造成這結果的情況並不多,當然,前提在不是砍重要系統檔的情況下。

補充:這情況與登錄調用有很大關係,所以直接從登錄異常處比對就可以了,如:Registry Workshop 比對 HIVE 檔的前後內容。

> 我個人是不會拿工具對系統資料夾、包括Temp整個做刪除,避免發生任何不可測的問題,就算有處理Temp需求也是使用較多人使用的ATF-Cleaner做處理,既方便也不會發生問題。The Avenger在我看來是一款很好用的工具,尤其是需要走Ring 0的情況。 
這邊認同您的看法,如是清暫存檔用 ATF 即可。

> 原來是這種問題造成Services大量顯示嗎,我以前看過相關案例是驗證機制遭到屏障,不過通常碰到這種問題,因為Log判讀會很困難,實在也懶得看,都會習慣走以下兩個方案: 
> 1.請User使用掃描器全機掃毒 + Windows Update到最新。 
> 2.使用SREng「自動將可疑檔案複製到SuspiciousFiles子目錄裡面」之後整包壓縮檔拿來做驗證,以及VT掃描。 
這邊個人是否可請教您一個問題:
若是電腦驗證遭到屏障要如何解除?還是只要將毒處理掉就自動恢復正常?

0
-
LV. 14
GP 87
6 樓 如夢似幻 star000star
GP1 BP-
※ 引述《wellss (◤★ 掠過無痕 ★◢)》之銘言:
> 我可以確定操作沒有問題。 
> 不過即使是處理一般的檔案或資料夾,跑一遍重開機後就會卡在跑馬燈的畫面。 
> 也就是跑馬燈開始前就定住在那裡不動了,等待許久亦無結果。 
> 我也排除了個人帳號資料夾權限 (很多程序安裝或RUN錯誤主因都出在這裡) 的問題; 
> 因此目前只能跟原官網上報這個問題。 
> 不,目前這狀況我清楚跟砍系統檔案本身無直接關聯,畢竟是內核工具,我也用冰劍同 
> 動作試了一遍,結果是成功砍除,並無發生其它異狀。 
> 而且程式在 RING0 級下所擁有之權限應當相同,除了少數例外如發生衝突,會造成這結果的情況並不多,當然,前提在不是砍重要系統檔的情況下。
那這部份就不清楚了,剛剛也重複拿手上幾個XPSP3環境測試都沒任何問題,也請了幾個朋友使用XPSP3環境做測試也沒什麼問題。或許是個案吧,就請您就自己跟作者聯繫看看囉。

說到冰刃,其實在對岸一些前輩們的評比中,冰刃造成藍屏的機率已經較偏高了,也看過不少相關抱怨文。因此現在對岸Ring 0工具主流使用上已經較少使用冰刃了,一來是新款工具功能更全面、二來是相容性問題。不過我覺得這類工具鮮少會拿來處理案例,因此有用到多是處理雜七雜八的小問題,所以還是會拿較上手的冰刃囉。

> 這邊個人是否可請教您一個問題: 
> 若是電腦驗證遭到屏障要如何解除?還是只要將毒處理掉就自動恢復正常? 
印象中之前看到的其中一例Case是被驅動層的東西作怪,導致整份日誌輸出起來有點奇怪,SREng驗證機制也全部沒過。後來有眼尖的前輩還是從日誌中找出問題,透過Xdelbox先行刪除惡意程式檔案,重新跑日誌這問題就改善了。

還有一個是Rootkit案例,不只有SREng相關用到數位簽章驗證機制的軟件都出問題(部份工具是根本找不到檔案),就連Ring 0工具的簽章驗證亦是如此,不過後來將檔案移出至其他環境獨立驗證,就變成沒通過驗證了;詳細調用機制實在不清楚,記憶中樣本簡單敘述就是這樣囉。
1
-
LV. 44
GP 962
7 樓 ◤★ 掠過無痕 ★◢ wellss
GP0 BP-
※ 引述《star000star (如夢似幻)》之銘言:
> 那這部份就不清楚了,剛剛也重複拿手上幾個XPSP3環境測試都沒任何問題,也請了幾個朋友使用XPSP3環境做測試也沒什麼問題。或許是個案吧,就請您就自己跟作者聯繫看看囉。 
ok,遵照囑附再一次自我搞掛系統後會去回報

> 說到冰刃,其實在對岸一些前輩們的評比中,冰刃造成藍屏的機率已經較偏高了,也看過不少相關抱怨文。因此現在對岸Ring 0工具主流使用上已經較少使用冰刃了,一來是新款工具功能更全面、二來是相容性問題。不過我覺得這類工具鮮少會拿來處理案例,因此有用到多是處理雜七雜八的小問題,所以還是會拿較上手的冰刃囉。 
我也有遇過,不過只是少少遇到一次,幾乎沒有。
話說那個 Wsyscheck 現在於 vista 下竟然可以相容沒問題跑了。
只是那款工具誤報的防軟一堆,算了...自己用。

> 印象中之前看到的其中一例Case是被驅動層的東西作怪,導致整份日誌輸出起來有點奇怪,SREng驗證機制也全部沒過。後來有眼尖的前輩還是從日誌中找出問題,透過Xdelbox先行刪除惡意程式檔案,重新跑日誌這問題就改善了。 
> 還有一個是Rootkit案例,不只有SREng相關用到數位簽章驗證機制的軟件都出問題(部份工具是根本找不到檔案),就連Ring 0工具的簽章驗證亦是如此,不過後來將檔案移出至其他環境獨立驗證,就變成沒通過驗證了;詳細調用機制實在不清楚,記憶中樣本簡單敘述就是這樣囉。 
喔,了解~ 那差不多就是只要能解除感染、中毒的狀況 + update 就能解決。
我會盡量避免自己大驚小怪的毛病 :) 但對於未過簽章的微軟檔還是會注意一下的。
thks

0
-
LV. 44
GP 975
8 樓 ◤★ 掠過無痕 ★◢ wellss
GP0 BP-

TO 星星

SRENG 重新修正上傳,另外將簡體 PDF 都包進 CHM 中,所以多佔用了一點體積。
改天有空再考慮將簡體 PDF 轉為繁體再重發佈吧。

0
-
LV. 18
GP 165
9 樓 如夢似幻 star000star
GP0 BP-
剛剛Download發現免空挺不方便的,很多空間都被砍檔了…Orz
改上傳一份到Hinet空間分流,如有不妥再請通知囉。
URL:http://star000star.myweb.hinet.net/SREng_anti-virus_process_V2.cab
會放多久不知道,現在Hinet空間已用87MB的容量,有容量問題在想辦法分流。
0
-
LV. 45
GP 1k
11 樓 無痕之音 wellss
GP0 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。


已經將電子書重新修改並編譯上傳。
祝大家學習愉快~
0
-
LV. 10
GP 25
12 樓 星煌 ny89418
GP1 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

1
-
LV. 10
GP 26
13 樓 星煌 ny89418
GP0 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

因為電子書載點只剩下一個,不知道我是不是也能幫忙提供載點呢
0
-
LV. 47
GP 2k
14 樓 無痕之音 wellss
GP0 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

0
-
未登入的勇者,要加入 15 樓的討論嗎?
板務人員:歡迎申請板主

183 筆精華,04/15 更新
一個月內新增 0
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】