作者blman (我愛亦潔我愛亦潔)
看板AntiVirus
標題[教學] ComboFix 的 CFScript.txt 操作手冊
時間Thu Nov 15 21:49:52 2007
前言
這篇文章是在「解毒學習手冊」完成前寫的,
今天才發現沒有放在板上。
可能會與目前新版有點出入,但我想應該不會差太多。
課前學習
知道為什麼要用 ComboFix ,及 CFScript.txt 要怎麼用。
CFScript.txt 操作
=================
=== killall:: ===
=================
目的:砍殺系統的程序。
範例:(只需 tags 不需內容)
killall::
方法:nircmd killprocess
說明:當檔案或程序被其它程式鎖定時,正常的砍殺是沒有用的。必須先將原鎖定程
序終止後才可進行。
不砍殺以下程序,其它程序全部砍殺。
explorer.exe
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
dmadmin.exe
cmd.exe
如果是 Windows NT 6.0 的版本則將下列程序加入不砍殺程序。
wininit.exe
lsm.exe
dwm.exe
==================
=== SnapShot:: ===
==================
目的:刪除 Snapshot 的紀錄。
範例:(只需 tags 不需內容)
SnapShot::
方法:swreg delete
說明:預設 ComboFix 會與前一次執行紀錄比對,若不想比對則加入此 Tag。
===================
=== SnapShotB:: ===
===================
目的:備份 Snapshot 紀錄。
範例:(只需 tags 不需內容)
SnapShotB::
方法:swreg delete
說明:ComboFix 有一個 Snapshot 的功能,以追蹤目錄/檔案大小或屬性的變化,如:
> - 2007-10-26 01:51:17 136,192 ----a-w C:\WINDOWS\catchme.exe
> + 2007-10-29 10:56:19 136,192 ----a-w C:\WINDOWS\catchme.exe
> - 2004-08-04 12:00:00 120,320 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll
> + 2007-07-30 11:19:28 203,096 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll
> - 2004-08-04 12:00:00 120,320 ----a-w C:\WINDOWS\system32\wuweb.dll
> + 2007-07-30 11:19:28 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
表示上一次執行 ComboFix 與此次 ComboFix 中,有三個檔案發生的屬性或大小的變化。
預設 ComboFix 會有前一次紀錄的 Snapshot,若想要將紀錄另外備份則可使用此 Tag。
(備份至 %SystemDrive%\qoobox\snapshot_*)
=================
=== Collect:: ===
=================
目的:壓縮打包檔案或程序,準備供別人進一步分析。
範例:
Collect::
C:\WINDOWS\logo1_.exe
C:\WINDOWS\system32\mhsha1.dat
方法:對於已知的標案系統(NTFS, FAT)則用 catchme -o 額外複製的方式,否則用
zip -S 打包。
說明:當不確定是否為惡意的檔案或程式,可以將此打包成 catchme.zip 並交給別人分
析。繁體中文環境預設會將產生在 %SystemDrive%\Documents and Settings\
%USERNAME% 目錄下,英文環境則是在使用者的桌面上。
=================
=== Rootkit:: ===
=================
目的:砍殺 Rootkit。什麼是 Rootkit?就是為了要取得權限的一組惡意程式。
範例:
Rootkit::
C:\WINDOWS\system32\remoteprt.exe
C:\Program Files\Common Files\Microsoft Shared\VGX\svchost.exe
方法:如果檔名是 \.sys.?$ ,則用 catchme -o 來備份。若不是,則用
catchme -k 來砍檔案。
說明:如果有發現隱藏程序,使用 Rootkit:: 會比 File:: 砍殺來得有效。猜測是
catchme -k 會將鎖定檔案的程式停止後再砍檔。
=================
=== Suspect:: ===
=================
目的:會在同一路徑下備份(副檔名加上 .VIR),然後砍殺。
範例:
Suspect::
C:\WINDOWS\akbsertts.dll
C:\WINDOWS\ressertterb.dll
方法:(1)先複製一份 (catchme -c);
(2)能不能刪檔 (catchme -k);
(3)能不能刪檔 (del /a/f)。
說明:如果不確定這程式是否惡意時,可以使用。若發生正常程序出問題,如
xxx.dll 檔找不到,則可以將備份的 .VIR 檔複製回來。
=============
=== File: ===
=============
目的:砍殺檔案。
範例:(檔名不支援萬用字元,如 *,?)
File::
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\mprmsgse.axz
方法:有些系統目錄下的檔案常被程序鎖定,則使用 moveex 來備份與移除;否則使用
attrib + move 的方式。
================
=== Folder:: ===
================
目的:砍殺目錄及其底下的檔案。
範例:(檔名不支援萬用字元,如 *,?)
Folder::
C:\Program Files\cpok
方法:檔案的部分交給 d-delA.dat,目錄給 d-delB.dat 用 rd /s/q,若目錄不能砍再
交由其它方式處理。
====================
=== System.Ini:: ===
====================
目的:專門處理 %SystemRoot%\System.ini。
範例:
System.Ini::
inject
方法:nircmd inidelsec
說明:移除 %SystemRoot%\System.ini 內的某個 section。上述範例則處理底下
system.ini 的 inject section。
如:
[drivers]
wave=mmdrv.dll
timer=timer.drv
[inject]
trojan=trojan.dll
rootkit=kit.drv
================
=== Netsvc:: ===
================
目的:處理 svnhost 服務啟動的惡意程序。
範例:
Netsvc::
badserv
方法:使用修改 Registry 的方式 (swreg add)。
=============
=== ADS:: ===
=============
目的:處理使用 NTFS 文件流技術隱藏的檔案或程序。
範例:(只能接檔案,不支援整個目錄)
ADS::
C:\WINDOWS\System32\conime.exe
方法:使用 www.flexhex.com 的 sf.exe 程式處理。
其它:
1. 該Rootkit使用了ADS 即NTFS文件流技術對文件進行隱藏, 使很多反Rootkit工
具失效
2. 該Rootkit同時使用FileSystem Filter技術同ADS技術結合, 互相保護, 導致
即使具有ADS檢測功能的反Rootkit工具比如Gmer,Rootkit Revealer,Lads,Winhex
也無效
結果範例:
ADS D:\WINDOWS\system32:lzx32.sys <-- ROOTKIT !!!
================
=== Driver:: ===
================
目的:處理使用 NTFS 文件流技術隱藏的檔案或程序。
範例:
Driver::
2hdmcd.dll
方法:嘗試砍檔與移除 Registry。
==================
=== Registry:: ===
==================
目的:刪除 Registry。
範例:
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp......]
"{ACADABAF-1000-0010-8000-10AA006D2EA4}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D500885E-...}]
方法:reg.exe 或 regedit.exe 匯入 registry 設定的方式。
==================
=== FileLook:: ===
==================
目的:進一步分析檔案資訊。
範例:
FileLook::
C:\WINDOWS\System32\suspect.tmp
方法:使用 FProps.vbs 的程序來看檔案資訊。
=================
=== DirLook:: ===
=================
目的:瀏覽目錄。
範例:
DirLook::
C:\WINDOWS\Help
方法:使用 VFind 程式來瀏覽目錄。
============
=== 其它 ===
============
上傳供 ComboFix 作者分析
只要在 CFScript.txt 中加入底下的其中一個 Tags 即可。
注意最後面的 "[" 符號。目前兩個功能是一樣的。
suspect::[
collect::[
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 125.225.188.136
1F:推 lcjjaff:推一個~M起來~~超詳細的^^ 11/15 21:57
2F:推 tvxq126:可是用的網址一直不能下耶? 11/15 22:33
3F:推 LiDra129:專業文當然要推 11/16 02:54
4F:推 junorn:Blman大,killall:那一段他後面過濾條件grep有加v,那這樣 11/16 09:12
5F:→ junorn:應該是除了上面說的以外其他都跑nircmd killprocess吧? 11/16 09:12
※ 編輯: blman 來自: 140.109.22.140 (11/16 09:21)
6F:→ blman:沒錯,應該是不砍殺名單 11/16 09:21