作者blman (我爱亦洁我爱亦洁)
看板AntiVirus
标题[教学] ComboFix 的 CFScript.txt 操作手册
时间Thu Nov 15 21:49:52 2007
前言
这篇文章是在「解毒学习手册」完成前写的,
今天才发现没有放在板上。
可能会与目前新版有点出入,但我想应该不会差太多。
课前学习
知道为什麽要用 ComboFix ,及 CFScript.txt 要怎麽用。
CFScript.txt 操作
=================
=== killall:: ===
=================
目的:砍杀系统的程序。
范例:(只需 tags 不需内容)
killall::
方法:nircmd killprocess
说明:当档案或程序被其它程式锁定时,正常的砍杀是没有用的。必须先将原锁定程
序终止後才可进行。
不砍杀以下程序,其它程序全部砍杀。
explorer.exe
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
dmadmin.exe
cmd.exe
如果是 Windows NT 6.0 的版本则将下列程序加入不砍杀程序。
wininit.exe
lsm.exe
dwm.exe
==================
=== SnapShot:: ===
==================
目的:删除 Snapshot 的纪录。
范例:(只需 tags 不需内容)
SnapShot::
方法:swreg delete
说明:预设 ComboFix 会与前一次执行纪录比对,若不想比对则加入此 Tag。
===================
=== SnapShotB:: ===
===================
目的:备份 Snapshot 纪录。
范例:(只需 tags 不需内容)
SnapShotB::
方法:swreg delete
说明:ComboFix 有一个 Snapshot 的功能,以追踪目录/档案大小或属性的变化,如:
> - 2007-10-26 01:51:17 136,192 ----a-w C:\WINDOWS\catchme.exe
> + 2007-10-29 10:56:19 136,192 ----a-w C:\WINDOWS\catchme.exe
> - 2004-08-04 12:00:00 120,320 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll
> + 2007-07-30 11:19:28 203,096 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll
> - 2004-08-04 12:00:00 120,320 ----a-w C:\WINDOWS\system32\wuweb.dll
> + 2007-07-30 11:19:28 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
表示上一次执行 ComboFix 与此次 ComboFix 中,有三个档案发生的属性或大小的变化。
预设 ComboFix 会有前一次纪录的 Snapshot,若想要将纪录另外备份则可使用此 Tag。
(备份至 %SystemDrive%\qoobox\snapshot_*)
=================
=== Collect:: ===
=================
目的:压缩打包档案或程序,准备供别人进一步分析。
范例:
Collect::
C:\WINDOWS\logo1_.exe
C:\WINDOWS\system32\mhsha1.dat
方法:对於已知的标案系统(NTFS, FAT)则用 catchme -o 额外复制的方式,否则用
zip -S 打包。
说明:当不确定是否为恶意的档案或程式,可以将此打包成 catchme.zip 并交给别人分
析。繁体中文环境预设会将产生在 %SystemDrive%\Documents and Settings\
%USERNAME% 目录下,英文环境则是在使用者的桌面上。
=================
=== Rootkit:: ===
=================
目的:砍杀 Rootkit。什麽是 Rootkit?就是为了要取得权限的一组恶意程式。
范例:
Rootkit::
C:\WINDOWS\system32\remoteprt.exe
C:\Program Files\Common Files\Microsoft Shared\VGX\svchost.exe
方法:如果档名是 \.sys.?$ ,则用 catchme -o 来备份。若不是,则用
catchme -k 来砍档案。
说明:如果有发现隐藏程序,使用 Rootkit:: 会比 File:: 砍杀来得有效。猜测是
catchme -k 会将锁定档案的程式停止後再砍档。
=================
=== Suspect:: ===
=================
目的:会在同一路径下备份(副档名加上 .VIR),然後砍杀。
范例:
Suspect::
C:\WINDOWS\akbsertts.dll
C:\WINDOWS\ressertterb.dll
方法:(1)先复制一份 (catchme -c);
(2)能不能删档 (catchme -k);
(3)能不能删档 (del /a/f)。
说明:如果不确定这程式是否恶意时,可以使用。若发生正常程序出问题,如
xxx.dll 档找不到,则可以将备份的 .VIR 档复制回来。
=============
=== File: ===
=============
目的:砍杀档案。
范例:(档名不支援万用字元,如 *,?)
File::
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\mprmsgse.axz
方法:有些系统目录下的档案常被程序锁定,则使用 moveex 来备份与移除;否则使用
attrib + move 的方式。
================
=== Folder:: ===
================
目的:砍杀目录及其底下的档案。
范例:(档名不支援万用字元,如 *,?)
Folder::
C:\Program Files\cpok
方法:档案的部分交给 d-delA.dat,目录给 d-delB.dat 用 rd /s/q,若目录不能砍再
交由其它方式处理。
====================
=== System.Ini:: ===
====================
目的:专门处理 %SystemRoot%\System.ini。
范例:
System.Ini::
inject
方法:nircmd inidelsec
说明:移除 %SystemRoot%\System.ini 内的某个 section。上述范例则处理底下
system.ini 的 inject section。
如:
[drivers]
wave=mmdrv.dll
timer=timer.drv
[inject]
trojan=trojan.dll
rootkit=kit.drv
================
=== Netsvc:: ===
================
目的:处理 svnhost 服务启动的恶意程序。
范例:
Netsvc::
badserv
方法:使用修改 Registry 的方式 (swreg add)。
=============
=== ADS:: ===
=============
目的:处理使用 NTFS 文件流技术隐藏的档案或程序。
范例:(只能接档案,不支援整个目录)
ADS::
C:\WINDOWS\System32\conime.exe
方法:使用 www.flexhex.com 的 sf.exe 程式处理。
其它:
1. 该Rootkit使用了ADS 即NTFS文件流技术对文件进行隐藏, 使很多反Rootkit工
具失效
2. 该Rootkit同时使用FileSystem Filter技术同ADS技术结合, 互相保护, 导致
即使具有ADS检测功能的反Rootkit工具比如Gmer,Rootkit Revealer,Lads,Winhex
也无效
结果范例:
ADS D:\WINDOWS\system32:lzx32.sys <-- ROOTKIT !!!
================
=== Driver:: ===
================
目的:处理使用 NTFS 文件流技术隐藏的档案或程序。
范例:
Driver::
2hdmcd.dll
方法:尝试砍档与移除 Registry。
==================
=== Registry:: ===
==================
目的:删除 Registry。
范例:
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp......]
"{ACADABAF-1000-0010-8000-10AA006D2EA4}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D500885E-...}]
方法:reg.exe 或 regedit.exe 汇入 registry 设定的方式。
==================
=== FileLook:: ===
==================
目的:进一步分析档案资讯。
范例:
FileLook::
C:\WINDOWS\System32\suspect.tmp
方法:使用 FProps.vbs 的程序来看档案资讯。
=================
=== DirLook:: ===
=================
目的:浏览目录。
范例:
DirLook::
C:\WINDOWS\Help
方法:使用 VFind 程式来浏览目录。
============
=== 其它 ===
============
上传供 ComboFix 作者分析
只要在 CFScript.txt 中加入底下的其中一个 Tags 即可。
注意最後面的 "[" 符号。目前两个功能是一样的。
suspect::[
collect::[
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 125.225.188.136
1F:推 lcjjaff:推一个~M起来~~超详细的^^ 11/15 21:57
2F:推 tvxq126:可是用的网址一直不能下耶? 11/15 22:33
3F:推 LiDra129:专业文当然要推 11/16 02:54
4F:推 junorn:Blman大,killall:那一段他後面过滤条件grep有加v,那这样 11/16 09:12
5F:→ junorn:应该是除了上面说的以外其他都跑nircmd killprocess吧? 11/16 09:12
※ 编辑: blman 来自: 140.109.22.140 (11/16 09:21)
6F:→ blman:没错,应该是不砍杀名单 11/16 09:21