当前位置: 电脑软硬件应用网 > 电脑学院 > 软件教程 > 安全工具 > 正文 |
|
|||
HijackThis详解 | |||
2006-9-23 8:20:20 文/网络转载 出处:电脑软硬件应用网 | |||
这个区段对应于通过 ShellServiceObjectDelayLoad 注册表键载入的文件。 这个注册表以于Run键相似的方式包含数值。与直接指向文件本身不同的是,它指向CLSID的InProcServer,它包含有关于正在被使用的特定DLL文件的资讯。 当你的计算机启动的时候,在这个键下面的文件自动地被 Explorer.exe 载入。因为 Explorer.exe 是你的计算机的外壳程序,它总是会启动, 那么这样一来在这个键下面的文件也总是会被载入。因此这些文件在任何人为干预发生之前就早在启动过程中载入了。 使用方法的劫持程序能被下列项目辨认出: 例子列表 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\Windows\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\Windows\secure.html 注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 例子列表 O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\Windows\system32\system32.dll HijackThis 使用内部的的白名单来排除这个键下面的合法项目。如果你为这见到了这个个列表,那么它就不是标准的而且应该被视为可疑的。 使用我们的Bleeping Computer Startup Database或Castlecops O20 list 来帮助你确认文件。 当你修复这些类型的项目时,HijackThis 不会删除在列的有问题的文件。建议你重新启动进入安全的模式删除有问题的文件。 O22 区段 这个区段对应于通过 SharedTaskScheduler 注册表值载入的文件。 当你启动Windows的时候,这一个注册表项目会自动地运行。当前只有CWS.Smartfinder使用这个键。 注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler 例子列表 O22 - SharedTaskScheduler: (no name){3F143C3A-1457-6CCA-03A7-7AAA23B61E40F} - c:\windows\system32\mtwirl32.dll 小心地移除该键所列出的项目,因为有些是合法的。你的可以使用 google 来了解它是否合法的。CWS.Smartfinder可以用CWShredder移除。 使用我们的Bleeping Computer Startup Database或Castlecops O20 list 来帮助你确认文件。 Hijackthis 将会删除与SharedTaskScheduler相关的项目,但不会删除它指向的 CLSID 以及CSLID 的 Inprocserver32 指向的文件。 因此你应该总是重新启动到安全模式手动删除这些文件。 O23 区段 这个区段对应于XP,NT和2003的系统服务。 服务是在Windows启动时自动载入的程序。这些服务无论是否有使用者登陆到计算机都会被载入,而且经常被广泛用处理系统任务, 像是Windows操作系统功能,防病毒软件或应用程序服务器。近来恶意软件利用服务来感染计算机呈增加趋势。 因此仔细调查列出的看起来不正确的每一个服务是很重要的。你可能找到的常见的恶意软件服务是Home Search Assistant和Bargain Buddy的新变种。 你可以在下面找到一些相关的例子。 多数的微软服务已经被加到白名单,因此他们将不会被列出。如果你想同时查看它们你可以使用 /ihatewhitelists 参数启动 HijackThis。 合法服务的例子: 例子列表 O23 - Service: AVG7 Alert Manager Server (Avg7 Alrt)- GRISOFT , s.r.o。 - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe Home Search Assistant的例子: 例子列表 O23 - Service: Workstation NetLogon Service - Unknown - C:\Windows\system32\crxu.exe Bargain Buddy 的例子: 例子列表 O23 - Service: ZESOFT - Unknown - C:\Windows\zeta.exe O23 - Service: ISEXEng - Unknown - C:\Windows\system32\angelex.exe 当你修复一个 O23 项目的时候 Hijackthis 将会将这一个服务改为已禁用,并停止该服务,然后要求使用者重新启动。 它将不会删除注册表中的服务或者它指向的文件。为了删除它你需要知道服务名。这个名字是在括号之间的文本。 如果显示出的名字和服务名字相同,那么它就不会再列出服务名字。 有你可以用三种方法来删除服务: 1. 通过在命令行提示符下键入 XP 的 SC 指令来删除它: sc delete servicename 你可以使用下列的例子中的注册表文件来删除服务: 2. 使用注册表文件删除服务。下面的注册表文件是一个该如何移除 Angelex.exe Bargain Buddy变种的例子: REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISEXENG] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ISEXEng] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISEXENG] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ISEXEng] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ISEXENG] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ISEXEng] 3. 使用 HijackThis 删除服务。你可以点击Config,MiscTools,按下Delete an NT service.. 按钮。当它打开以后你应该输入服务名按下OK。 要小心的移除这些键中列出的项目,它们大部分是合法的。你可以使用Bleeping Computer Startup Database来研究 O23 项目。 结论 HijackThis 是检查浏览器的细节以及Windows 正在运行什么的一个非常有力的工具。不幸地是要诊断 HijackThis 的扫描结果可能会很复杂。 希望我的忠告和解释将会略微减轻它的复杂度。这个程序需要谨慎的使用,如果不正确地移除了一些项目会引起合法的程序出问题。 如果你有任何的疑问可以在我们的间谍软体论坛中贴出来。 如果你希望得到关于使用HijackThis和其他的反间谍软件移除的恶意软件的更多资讯,你可以参加 Bleeping Computer HijackThis Trainee 计划。 -- Lawrence Abrams Bleeping Computer Internet Security and Spyware Tutorials 校订信息: 03/30/04: 增加所有的启动位置到 O4 区段。增加关于 F2 区段的资讯。增加在文件末尾的已命名的锚链标签使人们能够链接到我。 03/31/04: 增加更完整的关于 F2 和 F3 区段的资讯。 04/01/04: 增加更多的迫切的关于病毒扫描器的不适当地链接了 LSPs的警告到 O10 区段。 04/09/04: 增加关于 CWShredder 的资讯到 O13 区段。 04/24/04: 增加关于 Obfuscated 的意义的资讯到 R 区段。 04/25/04: 增加在顶部的骗子警告并改变了风格以反映较新的指南。 05/21/04: 增加关于以_结束的 R3 项目的资讯。 07/09/04: 增加关于新的 O20,O21,O22 项目,新的进程管理和主机文件管理的资讯,以及在 1.98 版中的错误修正校订。 12/24/04: 增加关于 1.99.0 版的新功能扩展更新了 O15 项目的资讯,在 O23 项目方面的信息以及新功能像是多进程终止、广告间谍和程序介面的信息。 02/16/05: 增加关于 1.99.1 版的新功能的资讯。以及在新的 O15 项目的重点: 默认协议和 O20 Winlogon Notify 键。 5/29/06: 更新了 O6 项目以反映免疫功能的正确位置。 本文为chenke_ikari翻译,首发于豆腐的简陋小屋 本文采用Creative Commons 署名-非商业性使用-相同方式共享 2.5 China 许可协议 进行许可 |
|||
最新热点 | 最新推荐 | 相关文章 | ||
HijackThis 日志分析——如何识别有… |
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |