作者blman (我爱亦洁我爱亦洁)
看板AntiVirus
标题[教学] 解毒学习手册 - (3)ShowHidden
时间Sat Nov 3 19:31:35 2007
恶意程式分析工具(3) ShowHidden
下载:
http://antbsd.twbbs.org/~ant/antivirus/ShowHidden.com
优点:可处理 HijackThis 与 SREng 没办法找出的问题。
缺点:无法处理高阶 Rootkit 恶意程式。
建议:适合当作最後的诊断工具。
从 2.0.0 版之後,支援目前主流的 Windows 系统 (2000, XP, 2003, Vista)。
2.1.0 版之後,新增 catchme 分析潜藏的藏隐程序。
产生报告
下载後直接执行。执行时,请不要动电脑。
结束後,会在桌面产生 ShowHidden.txt 档,
将档案上传到
http://kotuha.com/,供安全人员进一步分析。
报告解说
目前的 2.1.1 版有 11 个分析区段:
Stage 1: 避免恶意程式反制
有些恶意程式会禁止安全工具的执行,
第 1步骤就是检查并解除反制 ShowHidden 的机制,
也解除反制 HijackThis 与 SREng 的机制。
Stage 2: 系统资讯
列出本机系统的资讯。
Stage 3: 近期建档文件与目录
分析最近 7日与 30日的文件与目录,及其权限与大小等。
Stage 4: 执行的程序
列出目前正在执行的程序。包含占用记忆体大小及 CPU 使用率。
Stage 5: 函式库
列出执行程序所使用的函式库
Stage 6: 机码(Registry)
列出恶意程式可能藏身的机码。
Stage 7: 隐藏档列表
列出隐藏档。
Stage 8: Host file
列出本机 hosts file
Stage 9: 自动执行档
列出自动执行档(Autorun.inf)及其执行的内容。
Stage 10: ARP Spoofing Checker
检测是否有 ARP 欺骗。
Stage 11: 隐藏程序、机码
检测是否有隐藏程序、机码。
结束後,报告会产生在 %SystemDrive%\ShowHidden_Report.txt。
通常会是在 C:\ShowHidden_Report.txt。
补充
这个工具的目的是为了取代 ComboFix。
ComboFix 的设计有许多缺陷,以安全角度而言,
建议在安全人员的指导下,才使用 ComboFix。
原因如下:
1. ComboFix 会删除(恶意?)档案与目录
执行 ComboFix 会开始扫瞄系统,并会
"自动"删除它所认为的恶意档案与目录。
听起来好像没有什麽问题。
但问题出在,ComboFix 判断恶意程式的方式 -
"档名比对式"。
档名比对的方式早就被各家防毒软体厂商所放弃。
原因很简单,因为这是误判率最高的方法。
目前我所看过最简单的防毒软体,至少也用误判率低很多的"特徵码比对"。
那麽"档名比对式"有什麽缺点?
举例来说,ComboFix 会删除 C:\WINDOWS\System32\atmem.dll 这个档。
因此只要在 C:\WINDOWS\System32 目录,名 atmem.dll 的档都会被认为恶意程式。
不管他的大小、以及是否真的是恶意程式。
更可怕的是,ComboFix 也使用了 Regular Expression 的档名判断方式。
不懂没关系,意思是在 ComboFix 里,它认为这型式都是恶意程式。
C:\myalbum*.zip
这是指在 C:\ 这个目录下,只要我的名称开头是 myalbum,结尾是 .zip 的都删掉。
不管是 myalbum1.zip, myalbumABC.zip, myalbum123456789.zip 都删。
那就保佑使用者不会刚好就在 C:\ 放他最珍爱的相簿 myalbum-2007.zip。
或许有人会说,"可是 ComboFix 对移除的档有备份呀"。
我只能说,
"什麽档案有用,使用者说的算"。
况且 ComboFix 不是每个档都备份,还要看情况。
安全人员永远不会知道 C:\myalbum-2007.zip 是不是对方不想删掉的。
而且我敢保证,绝大多数的"对方",压根不会去看那个 LOG。
等到对方把 ComboFix 目录砍掉了(毒都解了,放着占空间是吧!!)
事过半年才想到 2007 年的相簿放在 C:\myalbum-2007.zip .....
搞不好还有 2006, 2005, 2004 ...
各位大大,我相簿不见了,我是不是被入侵啦!!!
2. ComboFix 会写入 Registry(机码)
虽然这不是什麽严重的事,但在人家地盘上写上东西又不清掉,
似乎不是一件好事。
3. 难懂
这是我看过最难懂的程式码,整个程式杂乱无章,
没有一个完整的规划,删档的列表还分别由两个程式控制,
这种情形族繁不及载。
对程式人员而言,难维护的程式正代表着他的问题会很多。
我个人是不敢用一个问题会很多的程式,哪怕有天把我心爱的东西弄不见了。
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 218.167.59.179
1F:推 linlin110:推:D 11/03 22:04
2F:推 xiaooooooooo:那为什麽中毒者要执行ComboFix呢~@@"不就可以改用 11/04 01:58
3F:→ xiaooooooooo:ShowHidden?? 11/04 02:01
4F:推 junorn:To:楼上:因为Combofix也有好处 11/04 05:44
5F:→ junorn:任何程式都有他的好处和坏处。要看使用的人习惯。 11/04 05:51
6F:推 blman:工具只要在安全人员指导下,就可以使用 :) 11/04 12:21
7F:→ xiaooooooooo:恩恩^^我了解了~~ 11/05 15:21
8F:推 kkkk123123:推好文@@ 06/16 16:54