2008年10月7日 星期二

HijackThis 記錄檔案解讀

運行過HijackThis 這套軟件得到HijackThis記錄檔,但是那個檔案就是不明白其中的意思,這次就應網友要求寫一下解讀HijackThis的方法。各位有什麼好東西認為值得放在這裏,不妨到左方的通訊器留一個言給我啊!

首先,要利用HijackThis 掃瞄系統,就要先下載這個程式執行它,並在Main menu(主選單)中按下Do a system scan and save a logfile。記錄檔案在完成掃瞄後就會自動顯示在螢幕上。

記錄檔的首多行就是系統的一些資料、掃瞄工具資料、掃瞄時間等等,應該不難明白。再下方的是Running Processes,它下方記錄著電腦執行中的處理程序。由於有部份的病毒或木馬會顯示於此,仔細分析正在執行的處理程序,可能會發現不該出現的處理程序。要注意在清殺任意可疑程式都要小心,因為這可能會破壞系統正常運作。

在正執行程序下方記載的,是其他系統的資料。包括瀏覽器輔助物件、隨系統載入程式等。這些設定都可能透露了惡意程式和病毒的行蹤。它們每行開首也有一個獨特的編號,編號就代表著不同的資料。以下的資料來自 www.merijn.org 由本人親自翻譯的。(按一下編號閱讀詳細資料)

  • R0, R1, R2, R3 - Internet Explorer 首頁/搜尋頁面 URL
  • F0, F1 - 自動載入程式
  • N1, N2, N3, N4 - Netscape/Mozilla 首頁/搜尋頁面 URL
  • O1 - Hosts 檔案重新定向
  • O2 - 瀏覽器輔助物件(Browser Helper Object , BHO)
  • O3 - Internet Explorer 工具列
  • O4 - 由系統登錄自動載入的程式
  • O5 - IE 選項圖示(不顯示於控制台)
  • O6 - IE 選項(系統管理員限制存取)
  • O7 - 由系統管理員限制存取的系統登錄
  • O8 - IE右鍵選單的額外選項
  • O9 - IE主按鈕工具列的額外按鈕,或在「工具」選單的額外的選項
  • O10 - Winsock 劫持
  • O11 - 在IE「進階選項」視窗的額外組別或群組
  • O12 - IE 插件
  • O13 - IE 預設前置詞劫持 (IE Prefix hijack)
  • O14 - 重設網絡設定劫持 (Reset Web settings hijack)
  • O15 - 在可信任區的無用途網址
  • O16 - ActiveX 物件 (已下載的程式檔案)
  • O17 - Lop.com 網域劫持者
  • O18 - 多餘的協定和協定劫持者
  • O19 - 使用者樣式表劫持
在HijackThis 1.98.x 中新增以下多種新記錄:
  • O20 - AppInit_DLLs 登錄值自動執行
  • O21 - ShellServiceObjectDelayLoad 登錄鍵自動執行
  • O22 - SharedTaskScheduler 登錄鍵自動執行
  • O23 - Windows NT 服務
從這些記錄中找一些不尋常的記錄,而如何知道不尋常就需要靠經驗。一般來說,可以到處理程序查找的網站,查出這個處理程序是否為病毒或是惡意程式。若果要查出處理程序是否正常,可以到http://www.processlibrary.com/這個網站輸入處理程序名稱。

沒有留言:

張貼留言