安全攻略:十招準確檢測出間諜軟體(轉)
安全攻略:十招準確檢測出間諜軟體(轉)[@more@] 下面介紹一下步驟:
1.在使用某種商業軟體或免費軟體的工具檢查之前,儘可能的將機器清理乾淨。執行防病毒軟體或反間諜軟體掃描,一旦發現一些異常的專案立即清除。有關這一主題的內容在網路上有許多。需要注意的是,在進入下一步之前,專家們強烈建議使用並執行一種以上的防毒、反間諜軟體掃描以便達到徹底清理。
2.建立一個檢查點或者對系統作備份。如果你使用的是Windows XP,那再方便不過了,這樣很快就能建立一個系統恢復點(依次開啟:開始選單――幫助和支援――使用系統還原恢復你對系統的改變,然後點選建立一個還原點的按鈕)。當然還有其他的方法(對於那些使用Windows家族其他作業系統的人來說是唯一的方法)就是建立一整套系統的備份,包括系統狀態資訊(如果其他辦法都不可行的話,你可以使用NTBackup.exe檔案;他包含了所有Windows新版本的資訊)。這樣的話,萬一在接下來的步驟中出了差錯,還可以將您的系統恢復到前一個正確的狀態。
3.關閉所有不必要的應用程式。一些反間諜軟體從電腦執行的所有執行緒和登錄檔中查詢不正常跡象,因此先退出所有應用程式再啟動反間諜程式執行檢查,可以節省大量時間。
4.執行反間諜程式。在這一步,我使用了Hijack This這個軟體。將下載回來的Zip檔案解壓到你想要的目錄,然後雙擊HijackThis.exe這個執行檔案,會跳出一個帶有提示“Do a system scan and save a logfile.”的視窗。預設狀態下,日誌檔案會儲存在“我的文件”中,我發現在儲存的日誌檔名稱中加入日期和時間資訊很有用,這樣的話,一個名為hijackthis.log的檔案就改名為hijackthis-yymmdd:hh.mm.log(hh.mm是24小時制的幾點幾分)。這樣的話,以後你任何時候再次執行Hijack This(一旦開始執行,它會自動清空以前的日誌),都不必擔心丟失以前的日誌。因此,時間標記不愧是個很好的方法,這對將來你的日誌檔案分析非常有用。
5.檢視Hijack This結果視窗中顯示的掃描結果。這個結果與寫入日誌檔案的資訊是相同的,並且你會發現在每一個專案的左邊都有一個核取方塊。如果你核選了某些專案,按下“Fix Checked“按鈕, Hijack This就可以將其徹底清除了。你會發現在那裡有很多看上去秘密的檔案,你可以對其進行快速掃描,以決定在這時採取何種操作。實際上,真正存在的問題是識別出哪些檔案具有潛在的威脅,哪些是必須的,而哪些是無關緊要的。此時分析工具能夠幫上我們的大忙。記住,現在不要關閉Hijack This的查詢結果視窗,也不需要進行核選操作,因為在接下來的步驟中我們還會返回這個視窗。
具體方法
6.用Hijack This的日誌分析程式執行你的日誌檔案。你可以使用 Help2Go Detective或者 Hijack This Analysis 這兩個分析工具中的一個。如果兩個軟體都有的話,我個人傾向於Help2Go Detective,但這兩個都值得一試。在Hijack This日誌裡,你會發現每一個入侵(執行緒)的特殊資訊和相關處理建議,包括哪些可以保留,哪些可以刪除(但卻是無害的),哪些是可疑檔案(或許應該刪除,但是還需要進一步分析研究),以及哪些必須刪除(因為確定是惡意病毒)。這時,你可疑檢查所有被確認為惡意病毒的選項,或者與已知的間諜軟體和廣告軟體有關的選項。
7.檢查可疑專案(包括可選的啟用專案)。有時你可以檢視登錄檔名稱或者相關檔案和目錄資訊,來檢查即使透過分析程式(使用Hijack This很明顯發現的)也沒有識別出的專案,這是可能是你故意安裝或使用的程式的一部分。這些專案經常會被單獨的遺留下來。如果檢查程式和你人為的都沒有發現這些專案,安全選項就會將它們備份然後刪除(然而如果你採取了這個步驟,那麼要挽救這種狀況只有儲存一份備份檔案或者返回到前一個恢復狀態。)如果你想知道你在檢視的是什麼檔案,就進入下一個附加步驟,用google或其他搜尋工具搜尋專案的名稱。在99%的情況下我都可以在兩分鐘或更少時間內作出批准與否的決定。只有一少部分專案,最顯著的是dll檔案不僅僅需要透過檔名的搜尋驗證來裁留。
8.在Hijack This結果視窗核選有害檔案和不確定的可疑專案,然後按下“Fix checked”按鈕。你也可以在結果視窗中滾動檢視專案,並透過單擊來高亮選擇單獨的專案,接著透過點選"Info on selected item…."(選中專案的資訊……)來獲取這些專案的額外資訊。這時來檢視這些資訊比在上一步驟檢視更合適,因為這時分析工具的速度更快而且物件導向更友好。
9.重啟系統檢視執行情況。如果繫有統執行不正常現象,如應用程式不工作或變得異常,或者系統看上去不太對勁時,你需要決定是否需要返回到恢復狀態或備份狀態。如果Windows不能完成啟動,在系統啟動之初按下F8鍵,直到啟動進入安全啟動選單,選擇最後一次正確的配置。這樣啟動就沒有問題了,系統啟動之後你還需要退回到恢復點,或者恢復到在第二步備份的狀態。如果你接收這個選項的話,就不需要儲存改動了,可以直接越過第10步。
10.最後再執行依次Hijack This掃描:重複步驟4,但是需要注意更改儲存日誌檔案的日期標籤。你可以掃描結果來確定移動的專案已經被徹底清除,或者只需儲存你電腦狀態的快照,快速清除就可以了(這樣會對下一次進行同樣的操作產生一個有意義的參照狀態)。
1.在使用某種商業軟體或免費軟體的工具檢查之前,儘可能的將機器清理乾淨。執行防病毒軟體或反間諜軟體掃描,一旦發現一些異常的專案立即清除。有關這一主題的內容在網路上有許多。需要注意的是,在進入下一步之前,專家們強烈建議使用並執行一種以上的防毒、反間諜軟體掃描以便達到徹底清理。
2.建立一個檢查點或者對系統作備份。如果你使用的是Windows XP,那再方便不過了,這樣很快就能建立一個系統恢復點(依次開啟:開始選單――幫助和支援――使用系統還原恢復你對系統的改變,然後點選建立一個還原點的按鈕)。當然還有其他的方法(對於那些使用Windows家族其他作業系統的人來說是唯一的方法)就是建立一整套系統的備份,包括系統狀態資訊(如果其他辦法都不可行的話,你可以使用NTBackup.exe檔案;他包含了所有Windows新版本的資訊)。這樣的話,萬一在接下來的步驟中出了差錯,還可以將您的系統恢復到前一個正確的狀態。
3.關閉所有不必要的應用程式。一些反間諜軟體從電腦執行的所有執行緒和登錄檔中查詢不正常跡象,因此先退出所有應用程式再啟動反間諜程式執行檢查,可以節省大量時間。
4.執行反間諜程式。在這一步,我使用了Hijack This這個軟體。將下載回來的Zip檔案解壓到你想要的目錄,然後雙擊HijackThis.exe這個執行檔案,會跳出一個帶有提示“Do a system scan and save a logfile.”的視窗。預設狀態下,日誌檔案會儲存在“我的文件”中,我發現在儲存的日誌檔名稱中加入日期和時間資訊很有用,這樣的話,一個名為hijackthis.log的檔案就改名為hijackthis-yymmdd:hh.mm.log(hh.mm是24小時制的幾點幾分)。這樣的話,以後你任何時候再次執行Hijack This(一旦開始執行,它會自動清空以前的日誌),都不必擔心丟失以前的日誌。因此,時間標記不愧是個很好的方法,這對將來你的日誌檔案分析非常有用。
5.檢視Hijack This結果視窗中顯示的掃描結果。這個結果與寫入日誌檔案的資訊是相同的,並且你會發現在每一個專案的左邊都有一個核取方塊。如果你核選了某些專案,按下“Fix Checked“按鈕, Hijack This就可以將其徹底清除了。你會發現在那裡有很多看上去秘密的檔案,你可以對其進行快速掃描,以決定在這時採取何種操作。實際上,真正存在的問題是識別出哪些檔案具有潛在的威脅,哪些是必須的,而哪些是無關緊要的。此時分析工具能夠幫上我們的大忙。記住,現在不要關閉Hijack This的查詢結果視窗,也不需要進行核選操作,因為在接下來的步驟中我們還會返回這個視窗。
具體方法
6.用Hijack This的日誌分析程式執行你的日誌檔案。你可以使用 Help2Go Detective或者 Hijack This Analysis 這兩個分析工具中的一個。如果兩個軟體都有的話,我個人傾向於Help2Go Detective,但這兩個都值得一試。在Hijack This日誌裡,你會發現每一個入侵(執行緒)的特殊資訊和相關處理建議,包括哪些可以保留,哪些可以刪除(但卻是無害的),哪些是可疑檔案(或許應該刪除,但是還需要進一步分析研究),以及哪些必須刪除(因為確定是惡意病毒)。這時,你可疑檢查所有被確認為惡意病毒的選項,或者與已知的間諜軟體和廣告軟體有關的選項。
7.檢查可疑專案(包括可選的啟用專案)。有時你可以檢視登錄檔名稱或者相關檔案和目錄資訊,來檢查即使透過分析程式(使用Hijack This很明顯發現的)也沒有識別出的專案,這是可能是你故意安裝或使用的程式的一部分。這些專案經常會被單獨的遺留下來。如果檢查程式和你人為的都沒有發現這些專案,安全選項就會將它們備份然後刪除(然而如果你採取了這個步驟,那麼要挽救這種狀況只有儲存一份備份檔案或者返回到前一個恢復狀態。)如果你想知道你在檢視的是什麼檔案,就進入下一個附加步驟,用google或其他搜尋工具搜尋專案的名稱。在99%的情況下我都可以在兩分鐘或更少時間內作出批准與否的決定。只有一少部分專案,最顯著的是dll檔案不僅僅需要透過檔名的搜尋驗證來裁留。
8.在Hijack This結果視窗核選有害檔案和不確定的可疑專案,然後按下“Fix checked”按鈕。你也可以在結果視窗中滾動檢視專案,並透過單擊來高亮選擇單獨的專案,接著透過點選"Info on selected item…."(選中專案的資訊……)來獲取這些專案的額外資訊。這時來檢視這些資訊比在上一步驟檢視更合適,因為這時分析工具的速度更快而且物件導向更友好。
9.重啟系統檢視執行情況。如果繫有統執行不正常現象,如應用程式不工作或變得異常,或者系統看上去不太對勁時,你需要決定是否需要返回到恢復狀態或備份狀態。如果Windows不能完成啟動,在系統啟動之初按下F8鍵,直到啟動進入安全啟動選單,選擇最後一次正確的配置。這樣啟動就沒有問題了,系統啟動之後你還需要退回到恢復點,或者恢復到在第二步備份的狀態。如果你接收這個選項的話,就不需要儲存改動了,可以直接越過第10步。
10.最後再執行依次Hijack This掃描:重複步驟4,但是需要注意更改儲存日誌檔案的日期標籤。你可以掃描結果來確定移動的專案已經被徹底清除,或者只需儲存你電腦狀態的快照,快速清除就可以了(這樣會對下一次進行同樣的操作產生一個有意義的參照狀態)。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-962822/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- McAfee全新反間諜軟體解決方案(轉)
- 間諜軟體的入侵原理及防範辦法(轉)
- 如何識別和避免間諜軟體
- 軟體測評中心▏軟體產品測試的准入準出標準有哪些?
- 足球預測app分析軟體哪個準確?最準的足球大小球預測軟體神器APP
- 從應用安全到程式碼安全 確保軟體安全不能忽視檢測API漏洞!API
- 以色列間諜軟體聲稱擊敗了蘋果 iCloud 的安全保護措施蘋果Cloud
- 如何快速揪出系統內的間諜軟體
- 軟體測試報告可作哪些用途?如何正確選擇軟體檢測機構?測試報告
- 蘋果緊急釋出iOS9.3.5真相:iPhone被間諜軟體監控蘋果iOSiPhone
- 軟體為什麼要進行安全測試?可做安全測試的軟體檢測公司安利
- 檢測資料庫遷移準確性資料庫
- 軟體確認測試
- 瞭解你的敵人 十招妙招輕鬆制服間諜軟體(轉)
- 從使用者到管理員 間諜軟體的諸多責任(轉)
- 男子幫女子修電腦,悄悄安裝間諜軟體
- PackageDNA檢測目標軟體包的安全性Package
- 軟體測試的准入準出是什麼?標準是什麼?
- 基因檢測精確查明病情、精準診治疾病
- NSO間諜軟體:你們要人權,我們要人命
- BT客戶端BitLord被發現捆綁間諜軟體客戶端
- Lookout發現在哈薩克使用的Android間諜軟體Android
- 軟體產品確認測試
- 軟體確認測試報告有什麼作用?國內權威的軟體檢測機構推薦測試報告
- 軟體安全測試需要注意哪些問題?安全測試報告收費標準如何?測試報告
- 中國軟體工程標準 (轉)軟體工程
- 軟體安全測試報告怎麼編寫?出具測試報告的權威軟體檢測機構測試報告
- 漫談SCA(軟體成分分析)測試技術:原理、工具與準確性
- 軟體測試之移動APP安全測試簡析,北京第三方軟體檢測機構分享APP
- 美國國防承包商計劃收購間諜軟體公司NSO
- 你瞭解過軟體確認測試嗎?可進行確認測試的軟體測評中心推薦
- 中科院軟體所網路空間安全成果成國際標準
- “死亡演算法”:預測死亡時間準確率達90%!演算法
- 軟體測試BUG參考標準
- 3月第1周安全回顧間諜軟體滲透企業ZDnet被注入惡意程式碼
- 軟體安全性測試要點有哪些?常用軟體安全測試工具分享
- 軟體測試的驗證和確認
- 軟體測試——軟體安全質量的保證