善用Autoruns------再谈灰鸽子的手工查杀 bbs.ikaka.com

baohe - 2005-12-14 22:06:00

灰鸽子变种越来越多。原来手工杀毒的老招数已经不太灵了。有些中了鸽子的朋友，其hijackthis日志中根本无异常发现。
今天来谈谈用Autoruns找鸽子。为了说明问题，选一只驱动级的鸽子做例子。

在谈具体方法前，先交待一下使用此法的前提：
1、在系统干净时，保存一个Autoruns的日志（要全部内容"everything"），作为参考基准。
2、系统中安装了新程序后，请及时更新这个作为基准的Autoruns的日志。否则，今后用起来会比较麻烦。

好了，开始说具体的：

1、发现中招后，用Autoruns扫日志（要全部内容"everything"）。
2、将新扫的日志与原来保留的那个基准日志比较（图1－图3）
3、根据比较结果发现的绿色高亮显示（Autoruns自动用这种方式显示差别）的注册表内容，找到并删除鸽子的启动/服务项（图4－图6）。
4、删除服务/启动项前，注意记下木马文件的路径，以便删除文件。删除注册表项后，立即重启系统。
5、显示隐藏文件。找到并删除鸽子的文件。
6、还有个.dll文件问题。这个问题Autorans解决不了。要靠经验并使用IceSword才能确定（图7）。
不过，即使漏掉这个.dll也问题不大。删除了.exe和.sys，它就是死东西一个。

图1

附件: 15584720051214220632.jpg

baohe - 2005-12-14 22:09:00

图2

附件: 15584720051214220920.jpg

baohe - 2005-12-14 22:20:00

图3

附件: 15584720051214222531.jpg

baohe - 2005-12-14 22:21:00

图4

附件: 15584720051214222747.jpg

baohe - 2005-12-14 22:21:00

图5

附件: 15584720051214223155.jpg

baohe - 2005-12-14 22:22:00

图6

附件: 15584720051214223833.jpg

baohe - 2005-12-14 22:22:00

图7

附件: 15584720051214223546.jpg

xihuanweidian - 2005-12-14 22:24:00

图3到图7什么都没有,你有这功夫不如去帮帮用户解决问题??

baohe - 2005-12-14 22:42:00

【回复“xihuanweidian”的帖子】
你容我把图一一贴完了，再发表高见好不好？
我不该谁的，也不欠谁的！用不着你来教训！！

天天泡泡 - 2005-12-14 22:59:00

又有一群人会叫根本就看不懂的，不能触类旁通是很多人在杀毒时的一大顽症。

七彩黄花菜萱草 - 2005-12-15 8:49:00

建议：斑竹把下面的帖子加精置顶以配合学习
【原创】如何用Procexp和Autoruns工具识别与删除木马程序（作者Blackstone）
http://forum.ikaka.com/topic.asp?board=28&artid=7318038&page=1　　在此感谢。

斑竹的基准日志是没有选“Hide Microsoft Entries”项的日志吧？

天天网 - 2005-12-15 9:47:00

那儿十几个工具都强，版主研究后一一贴出来，呵呵

BlackStone - 2005-12-15 11:49:00

建议发长帖子并且有图片时，先占地，再修改，这样就不会在中间被别人回复所打断。

花落花又开 - 2005-12-15 14:32:00

Autoruns是个不错注册表的监视工具.

嘢蠻丫头 - 2005-12-15 15:16:00

好帖,BAOHE版主的帖是每天必看..

独孤豪侠 - 2005-12-15 17:28:00

呵呵，又迟到了，谢班竹~~~~、
老班，图三那个高亮度是这个工具自已会显示还是你加的？

BlackStone - 2005-12-15 17:42:00

引用:

【独孤豪侠的贴子】呵呵，又迟到了，谢班竹~~~~、
老班，图三那个高亮度是这个工具自已会显示还是你加的？
...........................

Autoruns本身就有这个功能

独孤豪侠 - 2005-12-15 17:47:00

哦，3Q

闪电风暴 - 2005-12-15 19:30:00

又晚来了

闪电风暴 - 2005-12-15 19:37:00

一般来说最好就用SSM不要让鸽子进来……

子阳 - 2005-12-15 19:42:00

学习下.

命运里の金色 - 2005-12-15 20:18:00

前两个礼拜也想发关于这个软件的用法
他的比较功能的确不错

飓风小子 - 2005-12-15 20:50:00

想问一下，要是机子不“干净”怎办？还有的是，这些操作还是要在安全模式下做？有汉化版了吗？斑竹你有发现“逃”过这东西的鸽子呢？

命运里の金色 - 2005-12-15 21:07:00

引用:

【飓风小子的贴子】想问一下，要是机子不“干净”怎办？还有的是，这些操作还是要在安全模式下做？有汉化版了吗？斑竹你有发现“逃”过这东西的鸽子呢？
...........................

只要没病毒就可以了

不一定要在安全模式

汉化版有了,要的话请在我的网络硬盘下载http://cluster2.gbaopan.com/Gbaopan.web.beta1/3d0bedd9526e4896b298d92d69f0e6a8.gbp?name=Autoruns+8.42.rar&type=rar

Autoruns 8.42

baohe - 2005-12-15 21:28:00

引用:

【飓风小子的贴子】想问一下，要是机子不“干净”怎办？还有的是，这些操作还是要在安全模式下做？有汉化版了吗？斑竹你有发现“逃”过这东西的鸽子呢？
...........................

你的问题很好玩儿。
1、如果你的基准日志是在带毒的环境中扫的，那么，以后中毒时的日志与基准日志比较，绿色高亮显示的只是新中的毒的启动加载项。老毒的启动加载项也在你新扫的日志中（如果你一直没杀这些老毒的话），但只以普通方式显示，需要你自己一一辨认。
2、日志不一定要在安全模式下扫。注册表被改动后，其内容在不同的环境中是不变的。
3、最近没有拿到新的鸽子样本，无法回答你最后一个问题。我猜测，今后可能会出现躲避Autoruns的木马。如果这个工具用的人多了，病毒作者自然会研究、考虑躲避它。

影子110 - 2005-12-15 21:51:00

前两天刚看了BlackStone发的《RootKit木马的亲密接触》觉得它挺不错的，，刚刚下了一个，，版主就发了一个教程帖~~呵呵，，，
学习了~~
procexp和RootkitRevealer（这两个我也是刚刚下下来的，，都是E文）版主若能把这两个也简单介绍下就好了~~~

前路漫漫 - 2005-12-15 22:09:00

引用:

【嘢蠻丫头的贴子】好帖,BAOHE版主的帖是每天必看..
...........................

从头爱你 - 2005-12-15 22:10:00

引用:

【花落花又开的贴子】Autoruns是个不错注册表的监视工具.
...........................

前路漫漫 - 2005-12-15 22:14:00

温故而知新

学无至境 - 2005-12-17 9:27:00

autoruns这个工具从哪里下载啊。

瑞星卡卡安全论坛