因为我之后因为懒(被巴)所以我之后都没再发文
上大学比较有空了,继续把这一篇翻修一下
请别说一些0day等等,那些是需要HIPS或者IDS才能阻挡的,虽然我会,但是要教很难
因为要使用者自己去判断那些东西根本是不可能,很多网管都是採经验法则的
不要指望一般使用者为了玩游戏把自己提升到网管程度
这一篇在我的小屋以及网站(http://www.bsctw.org/)之中有
==========================
充实您的网路安全观念~
BSC Club.ORG
在开始动作之前『一定要』把网路线拔掉!!
要不然就前功尽弃了...
首先~检查木马程式有无存在于你的电脑
一、判断方式
1.检查防毒程式或防木马程式:
最简单就是看看防毒程式或防木马程式有没有BeBe叫搂~
防毒程式无法更新!?那请到这里找到一个档案...
C:/WINDOWS/system32/drivers/etc
理头有一个叫做"host"的档案
把它用记事本打开...
有一些病毒会把防毒软体更新的网站或者站台直接改成localhost(127.0.0.1)
请自行判断,如果有看不懂就把那档案的内容PO到BSCtw.ORG的网站上的 这理
会有一批技术人员帮你看以及判断
但是如果防毒程式或防木马程式都没有异状,为何系统还是异常的缓慢呢?
2.检查网路线路、设备
其实~你可以检查看看接你电脑网路线的HUB、IP分享器、小乌龟(ADSL主机)的上下载灯有没有一直闪烁不停
(因为电脑在没有浏览网页、或是开IM软体时,并不会时时下载资料,如果发生这种状况,那百分之50~70%就是中木马被当跳板了,甚至更严重的成为了一个跳板,所以要注意有无流量异常)
像这张图,是最基本的监看方法,可以看到网路都是一点一点的再动
假如电脑没有开任何即时通讯以及下载软体等等,一直在提升到某一个值(大量上传下载)就要注意了
目前有流量监测并且放在桌面小图式的防毒软体有江民跟bitdefender这两款有做
她们可以让你方便监控网路程序
3.系统是否有部分功能无法开启:
聪明一点的木马都知道要如何防身,最常用的方式就是锁死系统服务,包括开始→执行指令、msconfig(系统公用程式)、系统管理元件之所有工具、工作管理员(ctrl+alt+del)、regedit (登录编辑器)以及cmd(命令字元)甚至防毒程式或防木马程式,而当这些系统关键服务通通被锁定了怎幺办?
解决方法有二
第一就是使用安全模式(不载入程序)
第二种就是把C:\windows\system32\regedit.exe改名,改成其它的再打开,工作管理员也可以这样弄
工作管理员的路径为C:\windows\system32\taskmgr.exe
二、解木马方式
1.将系统启动至安全模式
木马程式就是这点比病毒还好处理,你的系统绝对可以进去安全模式,只要进入安全模式,木马就马上就出现了~
如何启动安全模式呢?请在开机时狂按键盘上的"F8"键,直到出现开机选单,然后选择"安全模式"就可以进入安全模式
(木马的藏身之处就是在regidit(登录编辑器)中的"run"里面,因为安全模式只会载入基本的系统服务,也就是说系统根本不会去载入regedit(登录编辑器)中的"run"里面相关的值,而木马当然就不会被启动啦!)
2010/5/5 补充,现在的Rootkit或者kavo在安全模式会rootkit载入
这方面可能要用autoruns来进行监测
2.找出木马所在
这大家都知道了吧?正常模式中的防毒程式或防木马程式也许在木马的阻饶下不能发挥作用,但是到了安全模式就一定能启用搂~赶快搬出它们来大扫特扫吧!
假如防毒软体一直说有毒,每次都删除不掉,此时在这模式就可以大删特删了
假设防毒软体说 "C:\windows\soronhh.exe" 感染木马
那妳可以在安全模式使用CMD下达指令来删除
这在下一篇会讲到
3.终结木马
只要找到木马的档案之后,也许防毒程式或防木马程式无法自动解除,但是你这个时候也可以自己解决了~
此处以"状况"类型分别处理方式,当然可混搭使用XD
第一招:使用软体(藉助unlocker以及ProcessViewer)
第二招:手动删除
避免病毒因为运行而无法删除,要先把病毒从系统拔除(一般模式适用)
taskkill /F /IM soronhh.exe
之后到防毒软体说的位置,因避免dll生成,所以要下达一个.exe以及一个.dll的指令
del /A /F C:\windows\soronhh.dll
del /A /F C:\windows\soronhh.exe
del在CMD中是删除的指令 /a是针对所有档案(包含隐藏档) /F是强制删除档案 之后就是病毒路径以及档名
2.以服务、Drivers挂入系统(Drivers/xxxx.sys)
这种的就相当麻烦了,因Drivers是系统启动便会载入,再加上服务启用的话,将导致在一般视窗模式下完全无法动这些SYS档的手脚
因此这个时候必须透过SREng将服务关闭并且删除,重启系统确定服务没有启动即可删除档案
注1:这个步骤对初学者比较危险,所以动作之前请先备分原先的机码
开始->执行->键入regedit,接下来选择"档案"->"汇出",将汇出範围改为"全部",日后如发生问题可直接透过此档复原
3.防护软体找不到病毒或是找到病毒删除了却再生(rootkit植入)
这里稍为解释一下rootkit是什幺
Rootkit(全称为A program for hacking root. ,多半时候会因为发音省略"T")
顾名思义便是一种黑客用来植入于使用者电脑中的程式
利用这个假程式隐藏并执行一般木马该做的动作(如窃取封包、纪录键盘等)
甚至当附挂之木马遭移除时可以提供开启后门的管道,透过建立新帐户让黑客重新取得系统权限
Rootkit并不是一个程式,而是集合许多工具的杂烩,再透过包装隐藏恶意代码来达到迴避防护软体追查的目的
上面的解释看不懂也没关係,只是要跟你表示防护软体不是万能的(延伸阅读->靠防护软体救你!?多靠自己吧!)
此时该怎幺办?用刚刚的SREng扫描份系统的报表给会看以及解决问题的人看就好啦~
报表可以贴在 这边
SREng报表会扫描你系统目前的状况,将开机时会启动的程式、服务、驱动,hosts组态、IE ActiveX插件、系统目前启动的程序等等讯息,绝对有助于问题彻底根除
4.我没办法上网或正常更新防毒程式!(Winsock遭修改)
当系统连线发生异常(包含已取得IP却无法开启网页或是根本无法取得IP)
可以尝试以下工具
无法连线的问题请使用这个工具->WinSockFix
至于无法正常更新防毒程式请参考上面有关hosts的项目
5.防毒软体无法正常启动!(遭设档案镜射或服务遭关闭、删除)
请参考上面第三点扫瞄SREng报表,此问题无法单靠手动处理
6.所有EXE档甚至SREng也无法启动!(EXE执行目标遭窜改)
首先~请先到控制台->资料夹选项->检视->勾选"显示已知档案类型之副档名"
之后把SREngPS.EXE的"EXE"改成BAT或COM就可以正常执行了
之后请到系统修复->文件关联的部份,选择EXE类型并且修复
7.虽然知道病毒档名了,但是我却找不到!(隐藏档案项目启动)
请先到控制台->资料夹选项->检视->勾选"显示系统保护档案"以及选择"显示所有隐藏资料夹及档案"两个项目,有出现讯息按下确定就好了
如果做了以上动作依然无效的话...那就代表你开启隐藏档案的功能被锁定了
很多时候病毒为了隐藏方便会将系统此功能关係,使得隐藏档案无法显示
造成清理病毒上的困扰
虽然有一大堆额外的档案管理工具,但总没有直接在系统操作来的直觉
因此这里提供一个小东西给大家使用
请将以下内容複製到记事本(不含分隔线)
==============我是分隔线==============
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
==============我是分隔线==============
并且另存为.REG档(如档案名称命名为FolderHidden.reg)
最后直接对该档案点击两下,确认汇入登录编辑器即可开启显示隐藏档案功能
(但可能会因为有病毒执行阻饶值写入或将此值重新写为隐藏,因此在动作前请先确认程序列表无病毒执行)
8.我毫无头绪该从哪里开始做....
请参考上面第三点扫瞄SREng报表,此问题无法单靠这篇文处理XD
9.预防ARP攻击
一般家用电脑假如有很多台,有一台重了ARP病毒还会连带害到其他台电脑
此时电脑都要做一个ARP绑定的动作
请下 ARP -s (default geteway) (MAC adderss)
假如不知道 可以下达ipcinfig /all来看default geteway的位址
至于MAC address可以看Router下方的贴纸
========================后继
我改的并不多,观念还是一样,最近除了随身碟病毒比较新颖,其他都是走一样路线
随身碟病毒清除方式太多,在此不多阐述
如果有问题,此串可以发问
如果需要帮忙做安全键检等等,可以到www.bsctw.org 去发文