作者blman (我愛亦潔我愛亦潔)
看板AntiVirus
標題[教學] 解毒學習手冊 - (3)ShowHidden
時間Sat Nov 3 19:31:35 2007
惡意程式分析工具(3) ShowHidden
下載:
http://antbsd.twbbs.org/~ant/antivirus/ShowHidden.com
優點:可處理 HijackThis 與 SREng 沒辦法找出的問題。
缺點:無法處理高階 Rootkit 惡意程式。
建議:適合當作最後的診斷工具。
從 2.0.0 版之後,支援目前主流的 Windows 系統 (2000, XP, 2003, Vista)。
2.1.0 版之後,新增 catchme 分析潛藏的藏隱程序。
產生報告
下載後直接執行。執行時,請不要動電腦。
結束後,會在桌面產生 ShowHidden.txt 檔,
將檔案上傳到
http://kotuha.com/,供安全人員進一步分析。
報告解說
目前的 2.1.1 版有 11 個分析區段:
Stage 1: 避免惡意程式反制
有些惡意程式會禁止安全工具的執行,
第 1步驟就是檢查並解除反制 ShowHidden 的機制,
也解除反制 HijackThis 與 SREng 的機制。
Stage 2: 系統資訊
列出本機系統的資訊。
Stage 3: 近期建檔文件與目錄
分析最近 7日與 30日的文件與目錄,及其權限與大小等。
Stage 4: 執行的程序
列出目前正在執行的程序。包含佔用記憶體大小及 CPU 使用率。
Stage 5: 函式庫
列出執行程序所使用的函式庫
Stage 6: 機碼(Registry)
列出惡意程式可能藏身的機碼。
Stage 7: 隱藏檔列表
列出隱藏檔。
Stage 8: Host file
列出本機 hosts file
Stage 9: 自動執行檔
列出自動執行檔(Autorun.inf)及其執行的內容。
Stage 10: ARP Spoofing Checker
檢測是否有 ARP 欺騙。
Stage 11: 隱藏程序、機碼
檢測是否有隱藏程序、機碼。
結束後,報告會產生在 %SystemDrive%\ShowHidden_Report.txt。
通常會是在 C:\ShowHidden_Report.txt。
補充
這個工具的目的是為了取代 ComboFix。
ComboFix 的設計有許多缺陷,以安全角度而言,
建議在安全人員的指導下,才使用 ComboFix。
原因如下:
1. ComboFix 會刪除(惡意?)檔案與目錄
執行 ComboFix 會開始掃瞄系統,並會
"自動"刪除它所認為的惡意檔案與目錄。
聽起來好像沒有什麼問題。
但問題出在,ComboFix 判斷惡意程式的方式 -
"檔名比對式"。
檔名比對的方式早就被各家防毒軟體廠商所放棄。
原因很簡單,因為這是誤判率最高的方法。
目前我所看過最簡單的防毒軟體,至少也用誤判率低很多的"特徵碼比對"。
那麼"檔名比對式"有什麼缺點?
舉例來說,ComboFix 會刪除 C:\WINDOWS\System32\atmem.dll 這個檔。
因此只要在 C:\WINDOWS\System32 目錄,名 atmem.dll 的檔都會被認為惡意程式。
不管他的大小、以及是否真的是惡意程式。
更可怕的是,ComboFix 也使用了 Regular Expression 的檔名判斷方式。
不懂沒關係,意思是在 ComboFix 裡,它認為這型式都是惡意程式。
C:\myalbum*.zip
這是指在 C:\ 這個目錄下,只要我的名稱開頭是 myalbum,結尾是 .zip 的都刪掉。
不管是 myalbum1.zip, myalbumABC.zip, myalbum123456789.zip 都刪。
那就保祐使用者不會剛好就在 C:\ 放他最珍愛的相簿 myalbum-2007.zip。
或許有人會說,"可是 ComboFix 對移除的檔有備份呀"。
我只能說,
"什麼檔案有用,使用者說的算"。
況且 ComboFix 不是每個檔都備份,還要看情況。
安全人員永遠不會知道 C:\myalbum-2007.zip 是不是對方不想刪掉的。
而且我敢保證,絕大多數的"對方",壓根不會去看那個 LOG。
等到對方把 ComboFix 目錄砍掉了(毒都解了,放著佔空間是吧!!)
事過半年才想到 2007 年的相簿放在 C:\myalbum-2007.zip .....
搞不好還有 2006, 2005, 2004 ...
各位大大,我相簿不見了,我是不是被入侵啦!!!
2. ComboFix 會寫入 Registry(機碼)
雖然這不是什麼嚴重的事,但在人家地盤上寫上東西又不清掉,
似乎不是一件好事。
3. 難懂
這是我看過最難懂的程式碼,整個程式雜亂無章,
沒有一個完整的規劃,刪檔的列表還分別由兩個程式控制,
這種情形族繁不及載。
對程式人員而言,難維護的程式正代表著他的問題會很多。
我個人是不敢用一個問題會很多的程式,哪怕有天把我心愛的東西弄不見了。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.167.59.179
1F:推 linlin110:推:D 11/03 22:04
2F:推 xiaooooooooo:那為什麼中毒者要執行ComboFix呢~@@"不就可以改用 11/04 01:58
3F:→ xiaooooooooo:ShowHidden?? 11/04 02:01
4F:推 junorn:To:樓上:因為Combofix也有好處 11/04 05:44
5F:→ junorn:任何程式都有他的好處和壞處。要看使用的人習慣。 11/04 05:51
6F:推 blman:工具只要在安全人員指導下,就可以使用 :) 11/04 12:21
7F:→ xiaooooooooo:恩恩^^我了解了~~ 11/05 15:21
8F:推 kkkk123123:推好文@@ 06/16 16:54