电脑软硬件应用网
当前位置: 电脑软硬件应用网 > 电脑学院 > 软件教程 > 安全工具 > 正文
HijackThis详解
HijackThis详解
2006-9-23 8:20:20  文/网络转载   出处:电脑软硬件应用网   
O21 区段

这个区段对应于通过 ShellServiceObjectDelayLoad 注册表键载入的文件。

这个注册表以于Run键相似的方式包含数值。与直接指向文件本身不同的是,它指向CLSID的InProcServer,它包含有关于正在被使用的特定DLL文件的资讯。

当你的计算机启动的时候,在这个键下面的文件自动地被 Explorer.exe 载入。因为 Explorer.exe 是你的计算机的外壳程序,它总是会启动,
那么这样一来在这个键下面的文件也总是会被载入。因此这些文件在任何人为干预发生之前就早在启动过程中载入了。

使用方法的劫持程序能被下列项目辨认出:


例子列表         R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\Windows\secure.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\Windows\secure.html

注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad


例子列表         O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\Windows\system32\system32.dll

HijackThis 使用内部的的白名单来排除这个键下面的合法项目。如果你为这见到了这个个列表,那么它就不是标准的而且应该被视为可疑的。
使用我们的Bleeping Computer Startup Database或Castlecops O20 list 来帮助你确认文件。

当你修复这些类型的项目时,HijackThis 不会删除在列的有问题的文件。建议你重新启动进入安全的模式删除有问题的文件。

O22 区段

这个区段对应于通过 SharedTaskScheduler 注册表值载入的文件。

当你启动Windows的时候,这一个注册表项目会自动地运行。当前只有CWS.Smartfinder使用这个键。

注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler


例子列表         O22 - SharedTaskScheduler: (no name){3F143C3A-1457-6CCA-03A7-7AAA23B61E40F} - c:\windows\system32\mtwirl32.dll

小心地移除该键所列出的项目,因为有些是合法的。你的可以使用 google 来了解它是否合法的。CWS.Smartfinder可以用CWShredder移除。
使用我们的Bleeping Computer Startup Database或Castlecops O20 list 来帮助你确认文件。

Hijackthis 将会删除与SharedTaskScheduler相关的项目,但不会删除它指向的 CLSID 以及CSLID 的 Inprocserver32 指向的文件。
因此你应该总是重新启动到安全模式手动删除这些文件。

O23 区段

这个区段对应于XP,NT和2003的系统服务。

服务是在Windows启动时自动载入的程序。这些服务无论是否有使用者登陆到计算机都会被载入,而且经常被广泛用处理系统任务,
像是Windows操作系统功能,防病毒软件或应用程序服务器。近来恶意软件利用服务来感染计算机呈增加趋势。
因此仔细调查列出的看起来不正确的每一个服务是很重要的。你可能找到的常见的恶意软件服务是Home Search Assistant和Bargain Buddy的新变种。
你可以在下面找到一些相关的例子。

多数的微软服务已经被加到白名单,因此他们将不会被列出。如果你想同时查看它们你可以使用 /ihatewhitelists 参数启动 HijackThis。

合法服务的例子:


例子列表         O23 - Service: AVG7 Alert Manager Server (Avg7 Alrt)- GRISOFT , s.r.o。 - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

Home Search Assistant的例子:


例子列表         O23 - Service: Workstation NetLogon Service - Unknown - C:\Windows\system32\crxu.exe

Bargain Buddy 的例子:


例子列表         O23 - Service: ZESOFT - Unknown - C:\Windows\zeta.exe
        O23 - Service: ISEXEng - Unknown - C:\Windows\system32\angelex.exe

当你修复一个 O23 项目的时候 Hijackthis 将会将这一个服务改为已禁用,并停止该服务,然后要求使用者重新启动。
它将不会删除注册表中的服务或者它指向的文件。为了删除它你需要知道服务名。这个名字是在括号之间的文本。
如果显示出的名字和服务名字相同,那么它就不会再列出服务名字。

有你可以用三种方法来删除服务:


   1. 通过在命令行提示符下键入 XP 的 SC 指令来删除它:

      sc delete servicename

      你可以使用下列的例子中的注册表文件来删除服务:

   2. 使用注册表文件删除服务。下面的注册表文件是一个该如何移除 Angelex.exe Bargain Buddy变种的例子:

      REGEDIT4 

      [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISEXENG]
      [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ISEXEng] 
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISEXENG]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ISEXEng]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ISEXENG]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ISEXEng]

   3. 使用 HijackThis 删除服务。你可以点击Config,MiscTools,按下Delete an NT service.. 按钮。当它打开以后你应该输入服务名按下OK。


要小心的移除这些键中列出的项目,它们大部分是合法的。你可以使用Bleeping Computer Startup Database来研究 O23 项目。

结论

HijackThis 是检查浏览器的细节以及Windows 正在运行什么的一个非常有力的工具。不幸地是要诊断 HijackThis 的扫描结果可能会很复杂。
希望我的忠告和解释将会略微减轻它的复杂度。这个程序需要谨慎的使用,如果不正确地移除了一些项目会引起合法的程序出问题。
如果你有任何的疑问可以在我们的间谍软体论坛中贴出来。

如果你希望得到关于使用HijackThis和其他的反间谍软件移除的恶意软件的更多资讯,你可以参加 Bleeping Computer HijackThis Trainee 计划。

--
Lawrence Abrams
Bleeping Computer Internet Security and Spyware Tutorials

校订信息:
03/30/04: 增加所有的启动位置到 O4 区段。增加关于 F2 区段的资讯。增加在文件末尾的已命名的锚链标签使人们能够链接到我。
03/31/04: 增加更完整的关于 F2 和 F3 区段的资讯。
04/01/04: 增加更多的迫切的关于病毒扫描器的不适当地链接了 LSPs的警告到 O10 区段。
04/09/04: 增加关于 CWShredder 的资讯到 O13 区段。
04/24/04: 增加关于 Obfuscated 的意义的资讯到 R 区段。
04/25/04: 增加在顶部的骗子警告并改变了风格以反映较新的指南。
05/21/04: 增加关于以_结束的 R3 项目的资讯。
07/09/04: 增加关于新的 O20,O21,O22 项目,新的进程管理和主机文件管理的资讯,以及在 1.98 版中的错误修正校订。
12/24/04: 增加关于 1.99.0 版的新功能扩展更新了 O15 项目的资讯,在 O23 项目方面的信息以及新功能像是多进程终止、广告间谍和程序介面的信息。
02/16/05: 增加关于 1.99.1 版的新功能的资讯。以及在新的 O15 项目的重点: 默认协议和 O20 Winlogon Notify 键。
5/29/06: 更新了 O6 项目以反映免疫功能的正确位置。

本文为chenke_ikari翻译,首发于豆腐的简陋小屋
本文采用Creative Commons 署名-非商业性使用-相同方式共享 2.5 China 许可协议 进行许可

上一页  [1] [2] [3] [4] [5] 
  • 上一篇文章:

  • 下一篇文章:
    • 最新热点 最新推荐 相关文章
    HijackThis 日志分析——如何识别有…
    关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 |

    Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号