系统报告扫描工具

youth80

系统报告扫描工具


HijackThis (推荐使用)
===================
介绍:
HijackThis,一般简称HJT,是一个免费的间谍软件移除工具,国内外十分常用的,由荷兰学生Merijn Bellekom编写.它可以扫瞄电脑的:
-Hosts档案
-IE BHO(Browser Helper Object)
-IE 工具列
-IE插件
-IE默认主页,搜索页
-启动项
-Winsock LSP (Layered Socket Protocol)
-Windows 服务
-Winlogon Notify
-IE/系统限制 (eg. 禁用注册表编辑器)
等等,并生成出报告/列表,让有经验的用户/分析人员作出基本分析
===================
下载最新官方版本HijackThis 1.99.1:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
===================
如何生成扫瞄报告让别人分析:
1. 先下载最新官方版本HijackThis 1.99.1,并储存到桌面
2. 解开hijackthis.zip,运行HijackThis.exe

3. 按红框的 Do a system scan and save a logfile

4. 扫瞄完成后,一个记事本弹出来,把所有内容复制再发给分析人员就可以

PS1: 一般用户请勿自行胡乱修复HijackThis扫瞄内的项目,以免令系统发生问题
PS2: 这里有一个HijackThis log自动分析网页,方便用户快速检查自己的log,但结果只供参考,建议进行修复前,先问一下任何有经验的人士
http://www.hijackthis.de/index.php
===================
如何修复HijackThis 中的项目:
1. 运行HijackThis.exe,按 Do a system scan only

2. 找出分析人员所提及要修复的项目,在需要修复的项目前的方格打勾,最后按[ b]Fix checked 就修复完成

PS: 修复完成后,建议重新启动电脑,最好重新扫瞄一个log给分析人员,以便确认病毒/木马/恶意软件已经移除

                   HiJackThis(HJT)日志在线自动分析服务

HijaclThis软件作者是荷兰的一位学生,是一个非常优秀的辅助杀毒小软件,对于恶意网页代码尤其有效!对于查找系统内的木马/蠕虫也有很好的辅助作用!并且它提供的扫描Log很全面,新手可以将Log放在杀毒论坛上,在高手的帮助下,清除恶意程序! 以下是3个HiJackThis日志自动分析服务网站,可以初步筛选出可疑项目,由于是机器分析,分析结果仅供参考.
第一个:
网址:  
http://hjt.networktechs.com/
使用方法:
将完整日志贴到方框内, 点击Parse(分析) 按钮即可.
建议使用Hijackthis英文版来扫描log.
分析结果:
标记为红色的项目---异常/危险项目, 几乎都要移除
标记为绿色的项目---正常项目, 不用理会
标记为橙色的项目---无效项目, 请安全移除
标记为蓝色的项目---通常无害的项目, 第三方应用程序
标记为紫色的项目---如果你不知道这是什么, 可以认为是危险项目
标记为黑色的项目---未知项, 需要进一步分析
标记为橙色加双下划线的项目---有广告链接
将鼠标停在每项上, 会显示进一步信息.
第二个:
HiJackThis Log File Analyzer
http://www.exelib.com/hijack
将日志贴入框中, 点击Analyze进行分析.
分析结果:
红色项目---危险或潜在危险的进程
绿色项目---点击链接会有进一步说明
第三个:  
http://www.hijackthis.de/
将日志贴入框中, 点击Analyze按钮. 或者点击浏览, 选择Hijackthis日志文件, 点击Analyze按钮.
分析完成后, 会对每个条目给出类别【Safe(安全) , Nasty (危险) , Unknown (未知) 】及描述和提示信息.

youth80

System Repair Engineer (推荐使用)
====================
介绍(取自官方网站) :
System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具，在这个工具的帮助下，你可以察觉你的系统故障并能够很容易的修复他们。
在 System Repair Engineer (SREng) 1.0版本里面，开放了近 20 项和系统维护相关的功能。System Repair Engineer (SREng) 提供了以下一些功能：
-注册表启动组配置功能：能够允许/禁止注册表启动项是否随机启动。对于一些隐蔽启动组能够检测是否被篡改，如果默认值被篡改则会提示用户。
-常规启动组（使用启动文件夹启动的启动组）配置功能：能够允许/禁止文件夹启动项是否随机启动。
-WIN.INI、SYSTEM.INI、AUTOEXEC.BAT、CONFIG.SYS 配置功能：删除、新增、编辑项目。
-BOOT.INI配置功能：设置BOOT.INI默认启动项、设置延时时间，设置启动开关等。
-Win32服务配置功能：提供服务信息的枚举、禁用服务和删除服务功能。能够隐藏由 Microsoft Corp 发行的服务。
-常见文件关联默认值自动检查修复功能
-Windows Shell 修复功能：修复常见的 Windows Shell 故障。
-Internet Explorer 修复功能：修复常见的 Internet Explorer 故障。
-浏览器加载项管理功能：包括BHO、工具栏、ActiveX、右键菜单项等。
-HOSTS文件配置功能：编辑、删除、新增HOSTS条目信息，
-智能扫瞄功能：智能扫瞄功能将扫瞄你的系统并给出一个详细的报告，在这个报告的帮助下，系统管理员能够发现一些你系统中存在的错误并告诉你如何使用 System Repair Engineer 或其他工具解决这些错误。
-我的扩展功能：以规则库的形式允许用户之间交换各自的配置，软件发行者也能够通过提供额外的规则库来增强软件的功能而不需要重新下载可执行文件。规则库的体积非常小巧，便于通过网络传输。
-内置的在线提示窗口：随时查看一些关键点的帮助信息。
-多语言自动切换功能或手工指定界面语言功能：想看什么语言界面就看什么语言界面，随心所欲。
-大部分操作不需要重启或注销就能够立即生效功能：改变以往要使设置生效需要注销重新登陆的局面。
官方网站: http://www.kztechs.com/sreng/index.html
===================
下载
Windows 98/ME/2000/XP/Server 2003 的用户:
http://www.kztechs.com/sreng/sreng2.zip
===================
使用方法及说明,可参看官方的用户手册:
http://www.kztechs.com/sreng/help/
===================
如何生成报告:
1. 运行SREng.exe,选 智能扫瞄 ,确定全选了那4个项目后,按 扫瞄

2. 扫瞄完成后,按 保存报告,再保存到桌面,把报告内容交由分析人员看看

阅读提示： 请结合文章中字体的颜色与图片中方框的颜色匹配阅读！
　　System Repair Engineer（简称SREng）是一款国产软件，主要用于调整和修复Windows操作系统。
　　首先解压缩下载后的压缩包文件（下载地址见网站首页）,共有3个文件1个文件夹（见图1）其具体作用为：
　　　　Plugins　　　　插件文件夹。此文件夹中包含了SREng软件的相关插件
　　　　Licence　　　　软件使用许可协议
　　　　Readme　　　 软件发行说明
　　　　SREng　　　 　SREng主程序

图 1
　　鼠标双击SREng文件将会打开软件。程序的界面如图2所示：

图 2
　　通过软件的主界面可以看出，目前SREng主要分为四大部份：启动项目、系统修复、智能扫描和扩展（插件）。本文主要主解SREng启动项目和系统修改两部份。
　　鼠标点击“启动项目”，将会列出操作系统启动时哪些文件会自动运行。这里的功能跟Autoruns软件（见网站《如何使用Autoruns》一文）类似，但是他也有他自身的特点，如图3所示：

图 3
　　见图3在“启动项目”的分类列表中会列会相应的启动项，如果SREng发现有可疑的启动项目则会相应的颜色高亮显示。显示为红色，表示此项为高度危险的启动项，这时你就要注意看一看这一项是不是木马程序或病毒了；显示为蓝色，表示SReng自己也不知道这一项是安全还是危险；显示为绿色，表示这一项已经经过数学签名验证，是安全的项目。点击某一启动项后，此项文件的相应信息也会在下面列出来，包括此文件的文件名、文件大小、文件描述、文件的建立时间、文件发布商和文件的版本号。如果当前文件通过了数字验证，那在他的文件发布商前会标有“（Verified）”字样。

图 4
　　如图4所示。通过点击新建、编辑、删除、刷新、保存（在其它页面存在保存按钮项）可以对当前选择的启动项目进行操作。通过点击注册表、启动文件夹、Win.ini、System.ini、AutoExec.bat、Config.sys、Boot.ini和服务可以查看其它启动项目分类。
　　SREng的“系统修复”功能是很强大的。鼠标点击“系统修复”。如图5所示第一项是系统的“文件关联”信息。什么是“文件关联”呢？你的电脑中有很多类型的文件，比如文本文件、图片文件等，当你用鼠标点击打开这些文件的时候电脑会根据你系统中的“文件关联”信息使用相应的软件打开此文件。例如文本文件(.TXT文件)的默认“文件关联”信息是“notepad.exe”。有一些木马病毒会更改系统的文件关联信息，比如将文本文件的“文件关联”信息指向木马病毒，这样每当你点击文本文件时就在不知不觉中运行了木马病毒。SREng会对目前系统中常用的“文件关联“信息做检测。如果发现当前文件关联的内容不是系统的默认值，其状态一项将会显示为“错误”。将鼠标移向“错误”字符前的复选框停留二秒钟后将会显示当前类型文件的“关联信息”，有时正常软件也会更改文件的“文件关联”信息，所以在这时你可以确定一下所显示的“关联信息”是否是合法的。之后将所需要修复的“文件关联”全部打上勾，点击按钮“修复”。

图 5
　　系统修复部份中的Windows Shell、Internat Explorer等功能的修复方式与“文件关联”的修复方式一样，这里就不再细述了。

youth80

Silent Runners.vbs (推荐使用)
===================
介绍:
Silent Runners.vbs是国外常用的报告生成工具,作者Andrew Aronoff,由Dr. Vesselin Bontchev(F-Prot的病毒分析员)作为技术顾问
Silent Runners.vbs可以列出大部份木马常用的启动方式 / "地点",而且都适合用于分析浏览器绑架问题
Silent Runners.vbs有3种搜索方式
-Normal
-Supplementary
-All
个人会建议使用All提供最完整的报告让分析人员分析~
====================
如何生成报告
1. 下载Silent Runners.vbs,保存到根目录(例如C:\ )
http://www.silentrunners.org/Silent%20Runners.vbs
2. 开始 ----> 执行 -----> 输入"C:\Silent Runners.vbs" -all
3. 你会看到一个信息,按确定,直到等到第二个信息,你会看到在Silent Runners.vbs同样的目录下,看到一个文件档,把报告让分析人员分析就可以了

youth80

阅读提示： 请结合文章中字体的颜色与图片中方框的颜色匹配阅读！
　　Autoruns是一款由Sysinternals开发的系统软件。众所周知，Windows操作系统在启动时某些软件也会一并运行，比如病毒防火墙、QQ等，当然木马病毒也会在操作系统启动时自动运行起来。Autoruns可以很方便的列举出你系统中所有自动运行的程序，并对他们进行屏蔽或删除等操作。
　　首先解压缩下载后的压缩包（文件下载地址见网站首页），共有四个文件（见图1）！其作用为：
　　　　autoruns.chm　帮助文件
　　　　autoruns.exe 　 在Windows下运行的界面程序（本文讲解得重点）
　　　　autorunsc.exe　 在Dos模式下可运行的控制端程序（非本文讲解重点）
　　　　Eula.txt　　　　 用户许可协议　　

图 1
　　用鼠标双击autoruns文件，如果你是第一次运行Autoruns这时会出现一个“用户许可协议”的窗口（见图2）,点击“Agree（同意）”按钮后便会进入Autoruns软件主界面。

图 2
　　因为Autoruns是一款国外的软件，所以当你第一次进入Autoruns主界面后会感觉他的字显示的比较小，因此我们在正式使用软件前首先需要设置Autoruns的字体。每一次打开软件或刷新“文件列表”时，Autoruns都会先对系统进行一番扫描，这时是无法设置字体的。见软件的左下角有文字提示“(Escape to cancel) Scanning…（按键盘左上角的ESC键取消扫描）”（如图3所示），按下键盘右上角“ESC”键后，软件将会停止扫描。扫描结束后软件左下角的提示文字为“Ready”（可见图4左下角处）,

图 3
　　鼠标点击菜单“Option（选项）”，再点击“Font（字体）”，如图4所示：

图 4
　　在弹出的字体设置窗口中，选择合适的“Font（字体）”、“Size（字号）”后，点击“OK（确定）”按钮（如图5）。这时Autoruns界面的字体已经有所改变，但是会显得有些紧凑，只要将Autoruns软件关闭，再如上面所描述的将软件重新打开一次，字体大小就会看很舒服。

图 5
　　接下来切入本文的正题。操作系统中有很多文件是在我们不知情的情况下自动运行的，这些文件可以分成若干个大类：服务程序(Services)、驱动程序（Drivers）、普通启动程序（Logon）等等。我们可以通过点击软件的分类标签单独的查看某个分类下的所有自动运行的软件，如果只查服务程序（Services）分类下的内容，鼠标点击标签页按钮“Services（服务）”，如图6所示。

图 6
　　通过鼠标点击每一个分类标签的方式查看所有自动运行的软件是比较繁锁的。我们可以点击标签页按钮“Everything（所有）”，这时所有的自动运行的软件便会在“文件列表”区域中全部罗列出来。如图7所示：

图 7
　　通过拉动“文件列表”右侧的“滚动条”可以发现原来有那么多自动运行的文件。这其中多数的文件是正常的文件，多数正常的文件又是含有数字签名的。这里要说明一下，文件的数字签名可以看成是文件的身份证号，通过验证数字签名可以判断当前文件的合法性。只要设置一下Autoruns，Autoruns会根据文件的数字签名提示我们当前文件是否已经通过验证，从而帮助我们对正常文件的识别。但是对于未通过数字签名验证的文件，可能是正常的文件，也可能是木马文件，这就需要我们自己来判断了！
　　鼠标点击菜单“Option（选项）”，再点击“Verify Code Signatures（验证数字签名）” （如图8所示）这样就打开了Autoruns的数字签名验证功能。

图 8
　　鼠标点击菜单“File（文档）”，再点击“Refresh（刷新）”项重新加载“文件列表”后，文件的验证信息才会显示出来（如图9所示）。
　　（Verified）表示验证通过；
　　（Not verified）表示未验证通过；

图 9
　　打开数字验证功能后，细心的你会发现多数的文件都是通过验证的。那我们可不可以将部份通过验证的文件从“文件列表”中隐藏掉呢？回答当然是肯定的。鼠标点击菜单“Options（选项）”，再点击“Hide Signed Microsoft Entries（隐藏微软的数字签名文件）”，其操作如图10所示。

图 10
　　鼠标点击菜单“File（文档）”，再点击“Refresh（刷新）”项重新加载“文件列表”后（操作如图9所示），“文件列表”中的内容是不是少了很多呢？
　　接下来看一下“文件列表”中都提供了哪些文件信息给我们？我们又可以如何操作呢？

图 11
　　见图11，首先选中“文件列表”中的某一项。图中蓝色方框内依次列出当前选择文件的名称（daemon.exe）、文件大小（Size：80K）、文件描述（Virual DAEMON Manager）、文件建立时间（2004-8-22）、文件的厂商（DAEMON’s HOME）、版本号（Version:3.47.00）。请注意，并不是所有的文件都会列出以上全部六项。
　　见图11，棕色框中的内容显示了当前选中项的文件所在硬盘中的位置；
　　见图11，紫色框中的内容显示了当前文件是否通过了数字签名验证（请见前面的描述）；
　　见图11，红色框的位置可以用鼠标进行点击，当打上钩时表示当前选中的文件会自动运行，如果不允许当前文件自动运行，只要在红框处用鼠标点击一下去掉钩，那此文件就不会再自动运行了。
　　见图11，绿色框中是滚动条，通过用鼠标拖动滚动条可以看到更多的内容。
　　如果你又想取消某一个文件的自动运行，又想将这个文件从你的电脑中删除，只需要在“文件列表”中用鼠标点击你想操作的那一项，再用鼠标点击菜单“Entry（项目）”，点击“Delete（删除）”，如图12所示：

图 12
　　软件会弹出一个对话框，问你是否确定要删除此文件？鼠标点击“Yes（是）”后马上删除所选文件；鼠标点击“No（否）”将会取消删除文件的操作。如图13所示：

图 13
　　做完所有的操作后，只要将软件关闭就可以了。至此为止，Autoruns的基本功能你是否都了解了？