LV. 48
GP 2k

⊙毒駭處理法⊙殺毒、分析、諮詢、安全

樓主 幽楓 b1356788
GP9 BP-
新版施工中 V2.0beta
                 50%/100%


 最後更新日期:2008/08/11


 

一樣,這裡是跟舊版本V1.0相同,可以附上您的hijack報告

hijack報告分析程式安裝

進入該頁面就會自動下載,安裝執行完後,執行它的do system scan adn save the log

將記事本內的分析貼上,熱心會分析的板友就會幫您解答了。(ex:奧斯卡大、reinfors)

 


 

常用系統分析報告:

hijackthis

sreng2

將此二款分析出來的log記事本的內容貼上來。

 

分析報告檢查技巧
hijack
  1. 重要系統進程位置。
  2. 啟動項。
  3. 系統(system32、windows)夾藏不明檔案。
  4. BHO是否被植入不明連結或是toolbar。
  5. HOST夾藏不明網址。
  6. 主要一些winsock lsp之類的問題。
  7. 部分註冊表檢查。
  8. 其他非系統預設的服務。
sreng
  1. 先看是不是正常常見公司名稱的軟體。
比如說:
adobegamma :adobe公司的產品
yahoom~1 :通訊軟體
cli :ATI驅動的東西
soundman :音效
nerocheck :燒錄的東西

  1. 優先看N/A字樣的部份。
  2. 檢查ERROR的錯誤部份和其相關關聯的檔案。
  3. 查看瀏覽器有無被放入奇怪的東西、網址。
  4. 檢查隱藏的部份,有寫著autorun的。
最後,分析這些報告是看經驗的,不是一朝一夕就能夠學會的,也是有一些頑強的東西這二種報告是找不出來的。
 

 

常用的單一個檔掃描網站:

http://www.virustotal.com/zh-tw/

http://www.virscan.org/
 
有的時候防毒程式掃瞄到一個疑似中毒的檔案,但是自己又不確定是否這是感染病毒的檔案,您可以將疑似中毒的檔案送到這二處,有各大家的防毒軟體幫您檢查。

使用時機比如說網路下載了一個檔案,用自己系統的掃毒掃過一遍了,還是不放心就可以到這裡給多家的審判團作檢查;但是這二處僅供檢查,不具有任何解毒、掃毒的功能。

掃描結果如果感染數過半50%,自己斟酌使用。

也可以發送E-MAIL到scan@virustotal.com,他會回傳掃描結果給您。


 

常用的手工移除輔助工具:

icesword
 - 冰劍
autoruns - 開機程序管理程式
unlocker - 強制解鎖定工具
CCLeaner-系統清理工具
 


 

常常窩藏病毒、木馬的地方:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


regedit裡面去找,並刪除相關對應病毒名稱。
執行msconfig關閉對應的啟動項知病毒名稱。
再執行防毒程式查殺。

C:\WINDOWS
C:\WINDOWS\system32

一般是無法針對這裏的木馬和病毒作刪修的,通常會冒出您無法刪除的字樣。
使用icesword去刪,可以直接刪除。

C:\WINDOWS\Temp\Temporary Internet Files

執行CCLeaner,再查殺一次。

C:\System Volume Information\_restore

關閉系統還原。


 

簡單查殺木馬的方式:

 

  1. 開始執行cmd命令模式,鍵入neststa -ano,檢查PID進程和IP的對應關係。
  2. 有進程大量佔用系統資源,導致CPU高達100%鋒值。
  3. 而該進程又有對外的IP和端口開放連線,就要自己注意該進程。
  4. 如果該進程為系統重要檔案,先做完系統更新,這也有可能是系統漏洞所導致的弱點。
  5. 而防毒如果查殺出病毒、木馬而無法做根除的動作,多半和註冊檔、啟動項有關。
  6. 執行到regedit,打開登錄編輯器之後,輸入對應名稱,刪除相關鍵值和機碼。
  7. 可以搭配autoruns來檢視相關登錄檔註冊對應。
  8. 刪除後相關登錄機碼、值、資料後,在嘗試用防毒程式去殺。
  9. 遇到無法處理的又100%確定是感染檔案(.exe、.dll),可以使用icesword來處理。

參考圖片:





 

系統漏洞更新和補丁:

如果是重灌的XP新系統可以先安裝SP3一次打齊SP2以來的補丁。如果是直接安裝SP3,SP3裝完後再來安裝其他對應系統驅動。
至於如果是SP2一路生上去的用戶可以不用安裝SP3。


如果不知道有哪些漏洞要修正的話:


另外可以自己用nessus查自己系統存在什麼漏洞方便作修復填補。

http://www.nessus.org/download/

選擇3.2.1.1 for windows這版本,也有其他OS的。

如果系統不是正常授權版本無法更新的話:

可以用一些第三方軟件的方式來修正系統存在的漏洞。

比如說以下二款防毒可以做系統漏洞修正。

如果要用要用漏洞修補器,請先移除前版的防毒軟體,避免衝突。

金山毒霸繁體(BIG5)版本下載位置:

http://www.duba.com.tw/download.php

江民繁體(BIG5)版本下載位置:

http://www.jiangmin.com.tw/show_news.asp?n_id=219

 

關閉XP預設的遠端登入:


將3389和4899這二個端口禁用,避免自己的電腦被一些掃弱點port探嗅到。

regedit到該地址:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
將3389的值改為其它數字,比如說3398。

我的電腦右鍵到內容中的遠端,內容都不為ˇ。

4899有用到這種弱點的工具,比如說影子RADMIN,它會產生r_server.exe在c:\winnt\system32這底下。
 

參考圖片:


 

關閉系統無用的遠端、服務:

我的電腦右鍵選擇管理,到服務與應用程式這裡將這些暫時無用的遠端服務禁用。

telnet
remote registry
remote desktop help session manager
tcp/ip netbios help
terminal services
netmeeting remote desktop sharing


以下這幾個沒用服務協定可以關閉,網路服務也可以只留TCP/IP這項服務。
如果區網內傳送檔案在安裝相關對應服務傳輸協定,用完就移除。
file and print share for MS network
client MS network

平時是關閉共用資料夾的狀態。
 

 

無線網路:

手動添加SSID後再連線到無線路由器。
建立access control list,過濾網卡mac,禁止不認識的網卡mac地址登入連結。
善用WEPWPA保密技術。
禁用DHCP。
 

 

9
-
板務人員:

face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】