关于几款系统恢复常用工具的用法介绍
一. Unlocker
相信很多人都用过这东西吧,虽然说对于一些强悍的东东能力有限,但是删除大部分的无
赖文件效果还是不错的。
二 Process Explorer
这是一款增强型的任务管理器,你可以使用它方便地管理你的程序进程,能强行关闭任何
程序(包括系统级别的不允许随便终止的“顽固”进程)(我试没敢试过)。除此之外,它
还详尽地显示计算机信息:CPU、内存使用情况,DLL、句柄信息,很酷的曲线图...
不过要是想很好的利用这个软件,必须具有一定的电脑软件知识……
三. AVG Anti-Spyware
针对因特网上传播的新一代安全威胁的有效解决方案.确保您的数据安全,保护您的隐私
抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁.
在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术反病
毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件,键盘记
录程序的有限的保护.而这正是AVG Anti-Spyware保护的出发点,它能补充现有的安全应用
程序从而创建一个完整的安全系统 -- 因为只有完整的安全系统才能有效地工作.
这个是网络上的介绍,一种很容易上手的软件……
下面两个软件重点介绍下(本来是想自己写的,后来发现网络上面的介绍详实得多)
四.HijackThis
简介:
HijackThis是荷兰的一个学生出品的非常优秀的辅助杀毒小软件,对于恶意网页代码尤
其有效。对于查找系统内的木马/蠕虫/流氓软件也有很好的辅助作用。它提供的扫描Log很
全面,还提供了修复的功能,对于一般的流氓软件、流氓器劫持可以直接修复。对于一些
顽固的,新手可以将日志放在杀毒论坛上,供别人分析以提供解决方案。它可以全部提示
目前系统的进程状态,包括自启动项、浏览器辅助控件,当前运行的进程、系统服务等。
是杀流氓软件必备的软件。
用这个软件主要是要看得懂它的日志,
看得懂日志就可以知道自己机上的信息了,要是你觉得不方便的话:目前有一些在线的网
站提供在线日志分析功能,如 [url]http://hjt.networktechs.com/[/url] ,不过是英文的。使用也很
简单,就是把你的日志贴进去,点那个“Parse“(分析),它就会自动分析你的日志,然
后显示出分析结果:
红色的项目---异常/危险项目, 几乎都要移除
绿色的项目---正常项目, 不用理会
橙色的项目---无效项目, 请安全移除
蓝色的项目---通常无害的项目, 第三方应用程序
紫色的项目---如果你不知道这是什么, 可以认为是危险项目
黑色的项目---未知项, 需要进一步分析
橙色双下划线的项目---有广告链接
下面介绍一下它的日志的结构:
Hijackthis的日志非常详细,一共有:
R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变
F0,F1,F2,F3 ini文件中的自动加载程序
N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
01 Hosts文件重定向
02 Browser Helper Objects(BHO,浏览器辅助模块)
03 IE浏览器的工具条
用这个软件主要是要看得懂它的日志,
看得懂日志就可以知道自己机上的信息了,要是你觉得不方便的话:目前有一些在线的网
站提供在线日志分析功能,如 [url]http://hjt.networktechs.com/[/url] ,不过是英文的。使用也很
简单,就是把你的日志贴进去,点那个“Parse“(分析),它就会自动分析你的日志,然
后显示出分析结果:
红色的项目---异常/危险项目, 几乎都要移除
绿色的项目---正常项目, 不用理会
橙色的项目---无效项目, 请安全移除
蓝色的项目---通常无害的项目, 第三方应用程序
紫色的项目---如果你不知道这是什么, 可以认为是危险项目
黑色的项目---未知项, 需要进一步分析
橙色双下划线的项目---有广告链接
下面介绍一下它的日志的结构:
Hijackthis的日志非常详细,一共有:
R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变
F0,F1,F2,F3 ini文件中的自动加载程序
N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
01 Hosts文件重定向
02 Browser Helper Objects(BHO,浏览器辅助模块)
03 IE浏览器的工具条
04 自启动项
05 控制面板中被屏蔽的IE选项
06 IE选项被管理员禁用
07 注册表编辑器(regedit)被管理员禁用
08 IE的右键菜单中的新增项目
09 额外的IE“工具”菜单项目及工具栏按钮
010 Winsock LSP“浏览器绑架”
011 IE的高级选项中的新项目
012 IE插件
013 对IE默认的URL前缀的修改
014 对“重置WEB设置”的修改
015 IE“受信任的站点”
016 Downloaded Program Files目录下的那些ActiveX对象
017 域“劫持”
018 额外的协议和协议“劫持”
019 用户样式表(stylesheet)“劫持”
020 注册表键值AppInit_DLLs处的自启动项
021 注册表键ShellServiceObjectDelayLoad处的自启动项
022 注册表键SharedTaskScheduler处的自启动项
上面20多项,即使对于专业人员来说都是比较复杂的,我不准备事无巨细一一详细介绍
。瑞星网站做了一个详细的专题,可以参考那里。说见附录。这里主要是针对一般用户用
到的最主要的部分做一个说明,通常情况下,可以解决80%的问题,花最少的精力,做最多
的事,呵呵(80-20原则)。
R0,R1,R2,R3 ★★★
被修改浏览器默认起启页,一般中了木马或者流氓软件,都会修改这个的,有时还会
自动保护,使用户不能更改。一般情况下,我们先不管这个,而是等清除木马,病毒之后
,最后再用Hijackthis来修复。
02,浏览器辅助对象 ★★★★★
这个是最需要关注的重点之一。浏览器辅助对象(BHO),本来是IE提供其它程序扩展
浏览器的功能所开放的接口,在浏览器启动的时候,自动加载。这个是几乎所有流氓广告
软件的“兵家必争之地”。一般情况下,它可能有很多个,如:
O2 - BHO: NTIECatcher Class - { C56CB6B0-0D96-11D6-8C65-B2868B609932 } - C:
\Program Files\Xi\NetTransport 2\NTIEHelper.dll
在这一项中,我们一般看最后面一行,那个.dll文件的位置,这里是C:\Program Fil
es\Xi\NetTransport 2\NTIEHelper.dll就是这个ie模块对应的文件,从对应文件目录或者
文件名上我们可以分辨这个模块到底是干什么用的―NetTransport是下载工具影音传送带
,那么这一项就应该没问题。
如果你看到这个目录不认识,那就需要注意了。尤其注意这个.dll是位于temp目录或
者windows/system32目录下,那就基本可以肯定是有问题的了,如下面这个:
O2 - BHO: IE - { D157330A-9EF3-49F8-9A67-4141AC41ADD4 } - C:\WINDOWS\DOWNL
O~1\CnsHook.dll (网络实名)
010,Winsock LSP“浏览器绑架”
这个是近来新出现的“相当”有恶意的流氓软件形径,如果用户把相关的文件删掉,
会造成用户计算机无法访问网络!强烈谴责这种最流氓的恶意形径!!LSP全称为“Windo
ws Socket Layered Service Provider”(分层服务提供商),这是Winsock 2.0才有的功
能。通俗一点来说,它是Windows所有底层网络Socket通信需要经过的一个大门。而流氓软
件在这个地方把自己的软件加进去了,这样就可以截取所有用户访问网络的数据包,可以
针对性地投放广告,获取用户访问习惯――想一想,当你访问一个网络的时候,所有数据
都被一只大眼睛盯着看,是什么感觉?而当用户如果不清楚删除这个.dll文件,那么就会
造成用户不能访问网络。
目前有Lsp-fix( [url]http://www.cexx.org/lspfix.htm[/url] )这个软件可以修得LSP的损坏或
者参考我的《WinXP/2000/2003下如何重装TCP/IP协议》一文来重装一个TCP/IP协议。
016,Downloaded Program Files目录下的ActiveX对象 ★★
一般是位于 C:\windows\Downloaded Program Files目录下的相关目录对象。现在的流
氓软件基本已经不关注这个地方了。不过网络实名(3721)还能见到。一般以cns开头
023,系统服务 ★★★★
系统服务是另外一个流氓软件越来越重视的地方。一般Windows系统的服务在这里不会
显示出来。只有第三方安装的服务才会显示出来。所以所有显示的,都需要留心。
如果知道是自己安装的如MySQL,Apahce这类可以不管,其它的服务一般会冒充,起一
个类似于很象正常的名字,如Windows updatas, NTServices,等。我的建议是所有你不清
楚的,全部删掉。尤其.exe的可执行路径位于windows,System32目录下的。 可能在CMD窗
sc delete 服务名来删除一个服务。
五.IceSword
实不单单是进程管理。的确很强,作者可能是个软件调试高手。比那个XX大师自带的进
程管理工具好多了!
IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 20
00/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需
要用户有一些操作系统的知识。
在对软件做讲解之前,首先说明第一注意事项:此程序运行时不可激活内核调试器(如
softice),否则系统即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损
失。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程
工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、
端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSwo rd使用大
量新颖的内核技术,使得这些后门躲无所躲。
IceSword FAQ 进程、端口、服务篇
问:现在进程端口工具很多,什么要使用IceSword?
答:1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySyste
mInformation系统调用(前二者最终也用到此调用)来编写,随便一个ApiHook就可轻轻松
松干掉它们,更不用说一些内核级 后门了;极少数工具利用内核线程调度结构来查询进程
,这种方案需要硬编码,不仅不同
版本系统不同,打个补丁也可能需要升级程序,并且现在有人也提出过防止此
种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的,并且
充分考虑内核后门可能的隐藏手段,目前可以查出所有隐藏进程。
2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi,前者会调用RtlDebug***函
数向目标注入远线程,后者会用调试api读取目标进程内存,本质上都是对PEB的枚举,前
面我的blog提到过轻易修改PEB就让这些工具找不到 北了。而IceSword的核心态方案原原
本本地将全路径展示,就算运行时剪切到其他路径也会随之显示。
3、进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺
骗,而IceSword不会弄错。
4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一
并杀除。当然,说任意不确切,除去三个:idle进程、System进程、csrss进程,原因就不
详述了。其余进程可轻易杀死,当然有些进程(如winlogo n)杀掉后系统就崩溃了。
5、对于端口工具,网上的确有很多,不过网上隐藏端口的纺缓蠛谑帧薄�IceSwo rd使用大
量新颖的内核技术,使得这些后门躲无所躲。
IceSword FAQ 进程、端口、服务篇
问:windows自带的服务工具强大且方便,IceSowrd有什么更好的特点呢?
答:因为比较懒,界面使用上的确没它来的好,不过IceSword的服务功能主要是查看木马
服务的,使用还是很方便的。举个例子,顺便谈一类木马的查找:
有一种利用svchost的木马,怎么利用的呢?svchost是一些共享进程服务的宿主,有些木
马就以dll存在,依靠svchost运作,如何找出它们呢?首先看进程一栏,发现svchost过多
,特别注意一下pid较大的,记住它们的pid,到服务 一栏,就可找到pid对应的服务项,
配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到注册表的services子键下
找对应名称的子键),根据它是不是惯常的服务项,很容易发现异常。剩下的工作就是停
止任务或结束进程、删除文件、恢复注册表 之类的了,当然过程中需要你对服务有一般的
知识。
问:那么什么样的木马后门才会隐藏进程注册表文件的?用IceSword又如何查找呢?
答:比如近来很流行且开源(容易出变种)的hxdef就是这么一个后门。虽然它带有一个驱
动,不过还只能算一个系统级后门,还称不上内核级。不过就这样的一个后门,你用一些
工具,***专家、***大师、***克星看看,能不能看到它的进程、注册项、服务 以及目录
文件,呵呵。用IceSword就很方便了,你直接就可在进程栏看到红色显示的hxdef100进程
,同时也可以在服务栏中看到红色显示的服务项,顺便一说,在注册表低尘捅览A恕?
5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,
那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找,不过不想弄得太
臃肿。
6、先说这些了...
问:“内核模块”是什么?
答:加载到系统内和空间的PE模块,主要是驱动程序*.sys,一般核心态后们作为核心驱动
存在,比如说某种rootkit加载_root_.sys,前面提到的hxdef也加载了hxdefdrv.sys,你
可以在此栏中看到。
问:“SPI”与“BHO”又是什么?
答:SPI栏列举出系统中的网络服务提供者,因为它有可能被用来做无进程木马,注意“D
LL路径”,正常系统只有两个不同DLL(当然协议比较多)。BHO是IE的插件,全名Browse
r Help Objects,木马以这种形式存在的话,用户打开网页即会激活木马。
问:“SSDT”有何用?
答:内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的
rootkit,像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以
红色显示,当然有些安全程序也会修改,比如regmon,所以不要见 到红色就慌张。
问同时也可以在服务栏中看到红色显示的服务项,顺便一说,在注册表和文件栏里你都可
发现它们,若木马正在反向连接,你在端口栏也可看到,另外,内核 模块中也可以看到它
的驱动。杀除它么,首先由进程栏得后门程序全路径,结束进程,将后门目录删除,删除
注册表中的服务对应项...这里只是选一个简单例子,请你自行学习如何有效利用IceSwor
d吧。
答:“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监
视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用:一个木马或病毒
进程运行起来时查看有没有杀毒程序如norton的进程,有则杀之,若 IceSword正在运行,
这个操作就被记录下来,你可以查到是哪个进程做的事,因而可以发现木马或病毒进程并
结束之。再如:一个木马或病毒采用多线程保护技术,你发现一个异常进程后结束了,一
会儿它又起来了,你可用IceSword发现是什么线程又创建 了这个进程,把它们一并杀除。
中途可能会用到“设置”菜单项:在设置对话框中选中“禁止进线程创建”,此时系统不
能创建进程或者线程,你安稳的杀除可疑进线程后,再取消禁止就可以了。
问:IceSword的注册表项有什么特点?相对来说,RegEdit有什么不足吗?
答:说起Regedit的不足就太多了,比如它的名称长度限制,建一个名长300字节的子项看
看(编程或用其他工具,比如regedt32),此项和位于它后面的子键在regedit中显示不出
来;再如有意用程序建立的有特殊字符的子键regedit根本 打不开。
当然IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很好的工
具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写
的,它不受目前任何注册表隐藏手法的蒙蔽,真正可靠的让你看到注 册表实际内容。
问:那么文件项又有什么特点呢?
答:同样,具备反隐藏、反保护的功能。当然就有一些副作用,文件保护工具(移走文件
和文件加密类除外)在它面前就无效,如果你的机器与人共用,那么不希望别
问:最后两个监视项有什么用处?
贝的。不过只有管理员能运行IceSword。最后说一个小技巧:用复制来改写文件。对一个
被非共享打开的文件、或一个正运行的程序文件(比如木马), 你想改掉它的内容(比如
想向木马程序文件写入垃圾数据使它重启后无法运行),那么请选中一个文件(内含你想
修改的内容),选“复制”菜单,将目标文件栏中添上你欲修改掉的文件(木马)路径名
,确定后前者的内容就写入后者(木马)从头开始的位置。
最后提醒一句:每次开机IceSword只第一次运行确认管理员权限,所以管理员运行程序后
,如果要交付机器给低权限用户使用,应该先重启机器,否则可能为低权限用户利用。
问:GDT/IDT的转储文件里有什么内容?
答:GDT.log内保存有系统全局描述符表的内容,IDT.log则包含中断描述符表的内容。如
果有后门程序修改它,建立了调用门或中断门,很容易被发现。
问:转储列表是什么意思?
答:即将显示在当前列表视中的部分内容存入指定文件,比如转储系统内所有进程,放入
网上请人帮忙诊断。不过意义不大,IceSword编写前已假定使用者有一定安全知识,可能
不需要这类功能。
六.其他
还有几个小工具像pipelist,promiscdetect,Fport,Killqx什么的也可以试试的。
这里就不具体介绍了,fport是一个非常有用的第三方工具,可以列出所有端口与开放它们
的进程的关连表。promiscdetect是一个第三方工具,可以检测网络接口状态,是否有sni
ffer类程序运行。pipelist是Windows ResKit中的一个工具,列出系统中的所有管道,察
看是否有通过Windows管道连接的后门。
七.ActiveX控件的免疫原理:(有兴趣且有时间的朋友不妨阅读一下):
From COC
像3721、百度、CNNIC等在程序主界面上罗列出来的项目,本质上都是属于ActiveX控
件。在默认的安全级别下,如果要下载签名的ActiveX控件,IE浏览器会给出提示,即弹出
要求签名的对话框。
而提供这些ActiveX控件的网站为了获利等关系,总希望尽可能多的网民安装他们的东
西,因此会寻求大量人气较旺的网站帮助它们进行宣传,这就是我们在浏览各类网站时会
不断弹出安装窗口的原因。明白了原因,我们就要从ActiveX控件本身着手来解 决问题:
一种方法是在IE浏览器的"Internet选项"中禁用ActiveX控件,该方法虽然彻底,但也
禁用了其它可能对您有用的控件,而且在浏览网页时可能出现问题。另一种行之有效的方
法是屏蔽相应的安装窗口,这也是本软件采用的方法。
每个ActiveX控件在注册表中都有唯一的一个ID,当它的"Compatibility Flags"值为
1024(十进制值)时就能屏蔽达到免疫的目的。以"3721网络实名"为例,它的ActiveX控件I
D为"{B83FC273-3522-4CC6-92EC-75CC86678DA4}",我们只要将注册表中"HKEY_LOCAL_MAC
HINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B83FC273-3522
-4CC6-92EC-75CC86678DA4}"键下的"Compatibility Flags"值设为1024(十进制值),就能
达到屏蔽"3721网络实名"的目的,而将该键值删除或设为0就可以解除对"3721网络实名"的
屏蔽。
下面给出用注册表文件对"3721网络实名"进行控制的源码:
1、屏蔽“3721网络实名”(将随后七行的内容另存为.reg文件,再导入注册表即可):
;====================================================
REGEDIT4
;屏蔽“3721网络实名”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
"Compatibility Flags"=dword:00000400
;====================================================
2、解除对“3721网络实名”的屏蔽(将随后六行的内容另存为.reg文件,再导入注册表即
可):
;====================================================
REGEDIT4
;解除对“3721网络实名”的屏蔽
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibilit
y\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
;====================================================
只要将上面样例文件中的{B83FC273-3522-4CC6-92EC-75CC86678DA4}改为其它Active
X控件的ID号,就能实现手工控制其它ActiveX控件了。以下罗列出常见的ActiveX控件的ID
号:
01、 3721网络实名: B83FC273-3522-4CC6-92EC-75CC86678DA4
02、 3721网络实名(新版): 4522DBFE-14CD-4A59-AC2A-54BADFDD6D53
03、 3721上网助手: 1B0E7716-898E-48CC-9690-4E338E8DE1D3
04、 3721上网助手(新版): 7CA83CF1-3AEA-42D0-A4E3-1594FC6E48B2
05、 3721中文邮: 4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686
06、 3721升级包 : 8D898B17-976D-44c1-84E6-AF38842AC9EC
07、 CNNIC通用域名: 9A578C98-3C2F-4630-890B-FC04196EF420
08、 Dudu加速器 : 8135EF31-FE8C-4C6E-A18A-F59944C3A488
09、 百度搜霸: 9BBC1154-218D-453C-97F6-A06582224D81
10、 百度搜索伴侣: BC207F7D-3E63-4ACA-99B5-FB5F8428200C
11、 新浪IE通: 98FA5667-513F-4F15-8A15-C171477B8847
12、 新浪点点通: 15DDE989-CD45-4561-BF99-D22C0D5C2B74
13、 新浪iGame: CD1A82F2-3770-4509-8355-0D2F45158F21
14、 网易泡泡: CF051549-EDE1-40F5-B440-BCD646CF2C25
15、 搜狐工具栏: 484FF54A-CC44-467E-9C31-5B89FC753007
16、 搜狐工具栏(新版): CE7C3CF0-4B15-11D1-ABED-709549C10000
17、 搜狐视频播放器: 2D0C7226-747E-11D6-83F0-00E04C4A2F90
18、 阿里巴巴商务通: 09F59435-7814-48ED-A73A-96FF861A91EB
19、 爱思美中文邮: 5FCEA0BA-123B-469a-A27B-8EFF96FEA71D
20、 每步直达: 32B88AFD-33DA-4E17-BE89-1029DE44DED6
21、 藏鲸阁: 36CB6B28-FC08-4373-8F54-1A02E3C15B7D
22、 Sexxx拨号程序: 7EB2A76C-97AE-4cf3-9C6A-EA0F61F137E1
23、 Portal Searching Toolbar: D6862A22-1DD6-11D3-BB7C-444553540000
24、 XXXToolbar: 018B7EC3-EECA-11D3-8E71-0000E82C6C0D
25、 XXXToolbar(新版): EF86873F-04C2-4a95-A373-5703C08EFC7B
26、 Mtree Dialers 1: E8EDB60C-951E-4130-93DC-FAF1AD25F8E7
27、 Mtree Dialers 2: FC87A650-207D-4392-A6A1-82ADBC56FA64
28、 Adobe.Stream 2.5: 4B106874-DD36-11D0-8B44-00A024DD9EFF
29、 Adobe.Stream 2.7: 00000566-0000-0010-8000-00AA006D2EA4
30、 SearchIt Toolbar: 3717DF57-0396-463d-98B7-647C7DC6898A
31、 Holistyc: 03C543A1-C090-418F-A1D0-FB96380D601D
32、 Ahmm Dialers: 8522F9B3-38C5-4aa4-AE40-7401F1BBC851
33、 WeatherCAST: FC327B3F-377B-4CB7-8B61-27CD69816BC3
34、 Alexa Toolbar: 69A72A8A-84ED-4a75-8CE7-263DBEF3E5D3
后面抄了别人那么多(不知道原作者是谁,希望他看见了别生气),最后自己说几句:其
实介绍只是次要的,重点还是自己去试用。而且最近出现的一些木马已经强到一定程度了
,光用工具是不一定解决的了的,想成为高手,重点还是自己动脑,一步一步探索,找到
根源再解决,工具永远只是工具。
zz from freecity.cn