網頁

搜尋此網誌

2014年2月25日 星期二

用微軟Autoruns 找出電腦內的惡意程式

今天上課聽到的工具 微軟Autoruns 可以檢測電腦內的惡意程式,不過並非一個工具可以解決及抓出所有的病毒和惡意程式還是要靠經驗和其他軟體交互配合...
 懶得自己整理,而且上班中,這次就貼引用文章  引用於 http://cissnet.edu.tw/Page/Detail/65 

--------------------------------------------------------------------------------------------------------------------------------------
相信大家都曾經有過電腦中毒的經驗,也相信大家都遇過中毒時掃毒軟體不管用的時刻,那...這個時候怎麼辦呢!?自己動手搞定!是每個IT專家都會做的事情,但工欲善其事、必先利其器的道理是不變的,可是有那些好用的小工具可以協助我們獵殺惡意程式呢?
基本上所有的惡意程式在植入到受害者的電腦後,都一定會找一個方法,讓電腦重新開機時,惡意程式可以自動啟動。也因此只要可以破解惡意程式自動啟動的方法,那麼惡意程式移除的工作就算已經完成一半了。可是問題在於Windows環境中,可以伴隨著作業系統啟動而順帶啟動程式的設定不下百種,假如一個一個檢查,那要檢查到什麼時候呢?況且設定那麼多,也不知道到底有那些設定是可以用來自動啟動程式的,因此對於IT專家來講,這種作法似乎不太可行~
不過所幸的是,Windows大師—Mark Russinovich跟他的好朋友—Bryce Cogswell已經為我們提供了一個好用的工具,那就是—Autoruns。基本上Autoruns這個工具可以將Windows環境中所有用來自動啟動應用程式的設定全部都列出來,藉此IT專家就可以自行判斷那些自動啟動程式的項目是可疑的,然後加以清查、而後清除。Autoruns這個工具有二個版本—圖形版與指令版,在這次的Tips中,我們將以圖形版的使用方式為主。
Autoruns的下載網址為: http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx 或者直接在Google打Autoruns也可以找到。程式一開使執行時,會先掃瞄系統中所有程式的啟動項目,取決於項目的多寡可能會花費30秒~5分鐘,假如希望中斷掃瞄作業,則可以利用鍵盤上的[ESC]按鍵中斷程式的掃瞄作業。
Autoruns
掃瞄完畢後,在Autoruns的視窗中會將Windows作業系統內,所有可以啟動應用程式的設定,全部顯示在「Everything」中,並且分門別類的顯示在不同的標籤裡。大家可以依照自己的需要切換至不同的標籤頁,檢視相關項目。基本上Autoruns中的每一個項目假如看不順眼…都可以直接按右鍵砍掉…不是看不順眼啦…是假如覺得可疑的話,都可以砍掉。
Delete
不過因為這樣的作法太暴力了,所以比較好的建議是可以將該項目前面的勾勾拿掉,等到確定不會有什麼後遺症的時候,再將該項目刪除。
rdpclip
不過話說回來,Autoruns每次掃瞄的項目動輒百項,到底那些項目是「良民」、那些項目是「惡霸」,想要分辨清楚這也是個頗大的學問。不過所幸的是,Autoruns在「Options」選單下有二個好用的選項:「Verify Code Signatures」跟「Hide Signed Microsoft Entries」。這二個選項是強烈建議一定要勾的啦。透過「Verify Code Signatures」,Autoruns會針對每個項目檢查其是否含有數位簽章、以及數位簽章是否有效。在此數位簽章的用途可以用來證明該項目一定是來自於該項目的提供者,也就是軟體供應商,「絕對」不會有假造的情事發生。講「絕對」可能會害Vincent被人家罵…,不過風險暫時沒有那麼高啦~ 這個以後有空再談。目前針對其所提供的軟體有加上數位簽章的廠商有Microsoft、Google、Adobe、Sun、Intel、Trend Micro等…,透過該項目有數位簽章,其安全性起碼會有一定的保障,因此有數位簽章的項目可以暫時忽略啦~
Autoruns
而「Hide Signed Microsoft Entries」這個選項則是用來將含有數位簽章,且是由Microsoft所提供的項目隱藏,藉此Autoruns中會顯示的項目大概可以先打個三折。因此在做人工過濾時,需要檢查的項目就不會有想像中的那麼多了。 可是雖然如此,但其實要看的項目還真是不少,那麼要怎麼看才會比較有效率呢?在此Vincent的建議是,可以先看「Description」跟「Publisher」欄位都是空著的項目。這種感覺就好像是,明明開著名車,怎麼可能會把自己的logo拔掉,會拔logo的,都是一些比較特別的啦~ 所以對於大部分正常的程式而言,其「Description」跟「Publisher」欄位或多或少都會有一些基本資訊,不會全部都是空的,除非該程式的開發,沒有一個正規的流程,才會有程式資訊都是空白的結果,不過這樣的程式,品質可能也會有問題吧~
Description
而第二個建議則是,假如該項目的「Publisher」掛著知名廠商的名號,特別是Microsoft,但是卻沒有數位簽章,那這個時候也要小心一點,因為那有可能是冒牌的啦~ 這個時候的建議則是可以利用每個項目上的滑鼠右鍵中,有個「Search online」的選項,可以到Internet上做做功課,避免誤殺良民啦~ 不過需要注意的是,由於Internet上的資訊多且雜亂,因在做功課的時候,千萬要謹慎小心!
Search online
基本上好的工具可以讓我們的工作事半功倍,不過如果使用不當則可能會造成重大傷亡,而Autoruns就屬於這一類的工具。因此在使用Autoruns時,一定要格外小心、注意!