恶意程式分析工具(1) HijackThis 网页：http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis 下载：http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe 优点：有网站提供自动分析，加快真伪的判断速度。 缺点：功能有限，仅能处理部分恶意程式。 建议：适合当作第一个分析工具，先对问题有一个概观。 产生报告 执行後，选择【Do A System Scan And Save A Logfile】，并等待几分钟， 此期间不要动电脑。 结束後，会产生 hijackthis.log，这是纯文字档。开启後，将内容贴到网路空间上。 处理流程 Log 贴到 "http://hijackthis.de/" 分析 ( 如图1: http://tinyurl.com/29vbpr ) ↓ 分析产生的报告 ↓ 首先要注意: (如图2: http://tinyurl.com/24l9gl ) 第1列: HijackThis 版本 (1) 第2列: Windows 版本与 Sevice Pack 版号 (2) 第3列: MSIE 版本 (3) 第4列: 开机模式 (4) ↓ 第二步: 快速扫过 Kind 栏位。 (如图3: http://tinyurl.com/yqpyyj ) 红色 X 记号：建议删除 (5) 黄色 X 记号：可安全删除 (6) 黄色 ? 记号：无法判断，需人工解读 (7) (如图4: http://tinyurl.com/2hdz2l ) 白色盾牌：系统安装的扫毒/防木马软体 (8) 防火墙图：防火墙软体 (9) ↓ 第三步: 快速扫过 Vistor's assessment 栏位 寻找有 nasty 的字串 (如图4: http://tinyurl.com/2hdz2l ) 防火墙该项看似安全，但 Vistor's 栏位显示危险， 表示虽然 avp.exe 通常是防火墙程式名称， 但不应该出现在 C:\WINDOWS\avp.exe 路径。 因此警告这是可疑的程式。 ↓ 下载并执行 HijackThis，然後选择【Do a system scan only】 再将要修复的项目"选取"(勾前面小框)， 然後在底下的按钮中找Fix checked 即可。 ↓ 完成 说明 (1) HijackThis 旧版的功能比较少，较不能找出潜藏的问题。 (2) 不同版本 Windows 解法有些许不同，虽然对 HijackThis 没有影响， 但对於後续几章的其它工具处理上能提供很多资讯。 另外，Service Pack 若没有更新到最新情况， 可建议对方电脑优先更新，再重新用 HijackThis 分析。 (3) 旧版本的 MSIE 存在着许多安全漏洞，病毒处理完毕後，可建议更新。 (4) 注意开机模式，如果是 Safe(安全模式) 则请对方在正常模式下使用 HijackThis， 因为正常模式下恶意程式才有可能启动，有启动後才容易侦测。 除非有其它因素，如无法正常模式开机时。 (5) 网站建议删除的值。可参考最右边栏位的说明。 (6) 网站建议删除的值。通常代表着档案已移除，但机码未清除。 (7) 网站无法判断。这时需要蒐集档名/路径/机码等资讯， 在 Google 上寻找是否已证实为恶意程式。 (8) 此程式为安全防护软体。若发现未装防毒软体，可建议安装。 (9) 此程式为防火墙软体。若发现未装，可建议安装。 实战 如果你拿到以下的 HijackThis Log 。你会怎麽处理？ 案例1: http://antbsd.twbbs.org/~ant/antivirus/tutorial/HijackThis_Sample1.txt 案例2: http://antbsd.twbbs.org/~ant/antivirus/tutorial/HijackThis_Sample2.txt 解答 案例1: 修复如下 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-00... O20 - Winlogon Notify: usbmon - C:\WINDOWS\system32\usbmons.dll (file.. O23 - Service: PnP plug 0n Service - Unknown owner - O23 - Service: Audio Adapter (VGADown) - Unknown owner - C:\WINDOWS\avp.exe 案例2: 不需分析，请对方下载最新版的 HijackThis 重新分析。 补充 如果是 O10 项有问题，直接用 HijackThis 修复可能会发生无法上网的情形， 此时有两种解决方式。 1. 在修复 O10 项前，Windows XP 版本请先下载 WinSockXPFix http://www.pchell.com/downloads/WinsockXPFix.exe Windows 2000 以前版本请下载 WinSockFix http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml 在修复後若发现无法上网，则使用这些工类修复。 2. 不使用 HijackThis 修复 O10 项，改用 LSP-Fix 修复。 http://cexx.org/lspfix.htm 执行後，勾选 "I know what I'm doing"，然後在左边选择有问题的清单， 再按中间的 ">>" 键将项目移到右边，最後按右下角的 "finish >>" 即可。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.167.59.179 ※ 编辑: blman 来自: 218.167.59.179 (11/04 12:20) ※ 编辑: blman 来自: 140.109.22.140 (11/06 20:37)