论文部分内容阅读
你应该有过这样的遭遇,就是电脑感染上了间谍软件或广告软件。在这种情况下,解决问题的关键就是要在你的硬盘、内存或Windows注册表中找出间谍软件的所在。我最近研究了我的主要网络内的几台机器,以找到间谍软件和广告软件的感染信息。我个人建议,最好能利用一些有效的商业软件和免费软件经常进行这样的检查。
下面介绍一下步骤:
1.在使用某种商业软件或免费软件的工具检查之前,尽可能地将机器清理干净。运行防病毒软件或反间谍软件扫描,一旦发现一些异常的项目立即清除。有关这一主题的内容在网络上有许多。需要注意的是,在进入下一步之前,专家们强烈建议使用并运行一种以上的杀毒、反间谍软件扫描以便达到彻底清理。
2.建立一个检查点或者对系统作备份。如果你使用的是Windows XP,那再方便不过了,这样很快就能建立一个系统恢复点(依次打开:开始菜单→帮助和支持→使用系统还原恢复你对系统的改变,然后点击创建一个还原点的按钮)。当然还有其他的方法(对于那些使用Windows家族其他操作系统的人来说是唯一的方法),就是创建一整套系统的备份,包括系统状态信息(如果其他办法都不可行的话,你可以使用NTBackup.exe文件,它包含了所有Windows新版本的信息)。这样的话,万一在接下来的步骤中出了差错,还可以将你的系统恢复到前一个正确的状态。
3.关闭所有不必要的应用程序。一些反间谍软件从电脑运行的所有线程和注册表中查找不正常迹象,因此先退出所有应用程序再启动反间谍程序运行检查,可以节省大量时间。
4.运行反间谍程序。在这一步,我使用了Hijack This这个软件。将下载回来的Zip文件解压到你想要的目录,然后双击HijackThis.exe这个执行文件,会跳出一个带有提示“Do a system scan and save a logfile.”的窗口。默认状态下,日志文件会保存在“我的文档”中,我发现在保存的日志文件名称中加入日期和时间信息很有用,这样的话,一个名为hijackthis.log的文件就改名为hijackthis-yymmdd:hh.mm.log(hh.mm是24小时制的几点几分)。这样的话,以后你任何时候再次运行Hijack This(一旦开始运行,它会自动清空以前的日志),都不必担心丢失以前的日志。因此,时间标记不愧是个很好的方法,这对将来你的日志文件分析非常有用。
5.查看Hijack This结果窗口中显示的扫描结果。这个结果与写入日志文件的信息是相同的,并且你会发现在每一个项目的左边都有一个复选框。如果你核选了某些项目,按下“Fix Checked”按钮, Hijack This就可以将其彻底清除了。你会发现在那里有很多看上去秘密的文件,你可以对其进行快速扫描,以决定在这时采取何种操作。实际上,真正存在的问题是识别出哪些文件具有潜在的威胁,哪些是必须的,而哪些是无关紧要的。此时分析工具能够帮上我们的大忙。记住,现在不要关闭Hijack This的查找结果窗口,也不需要进行核选操作,因为在接下来的步骤中我们还会返回到这个窗口。
6.用Hijack This的日志分析程序运行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 这两个分析工具中的一个。如果两个软件都有的话,我个人倾向于Help2Go Detective,但这两个都值得一试。在Hijack This日志里,你会发现每一个入侵(线程)的特殊信息和相关处理建议,包括哪些可以保留,哪些可以删除(但却是无害的),哪些是可疑文件(或许应该删除,但是还需要进一步分析研究),以及哪些必须删除(因为确定是恶意病毒)。这时,你可以检查所有被确认为恶意病毒的选项,或者与已知的间谍软件和广告软件有关的选项。
7.检查可疑项目(包括可选的激活项目)。有时你可以查看注册表名称或者相关文件和目录信息,来检查即使通过分析程序也没有识别出的项目(使用Hijack This很明显发现的),这可能是你故意安装或使用的程序的一部分。这些项目经常会被单独地遗留下来。如果检查程序和你认为的都没有发现这些项目,安全选项就会将它们备份然后删除。(然而如果你采取了这个步骤,那么要挽救这种状况只有存储一份备份文件或者返回到前一个恢复状态。)如果你想知道你在查看的是什么文件,就进入下一个附加步骤,用google或其他搜索工具搜索项目的名称。在99%的情况下我都可以在两分钟或更少时间内作出批准与否的决定。只有一少部分项目,最显著的是dll文件不仅仅需要通过文件名的搜索验证来裁留。
8.在Hijack This结果窗口核选有害文件和不确定的可疑项目,然后按下“Fix checked”按钮。你也可以在结果窗口中滚动查看项目,并通过单击来高亮选择单独的项目,接着通过点击“Info on selected item….”(选中项目的信息……)来获取这些项目的额外信息。这时来查看这些信息比在上一步骤查看更合适,因为这时分析工具的速度更快而且面向对象更友好。
9.重启系统查看运行情况。如果系统有运行不正常现象,如应用程序不工作或变得异常,或者系统看上去不太对劲时,你需要决定是否需要返回到恢复状态或备份状态。如果Windows不能完成启动,在系统启动之初按下F8键,直到启动进入安全启动菜单,选择最后一次正确的配置。这样启动就没有问题了,系统启动之后你还需要退回到恢复点,或者恢复到在第二步备份的状态。如果你接收这个选项的话,就不需要保存改动了,可以直接越过第10步。
10.最后再运行一次Hijack This扫描:重复步骤4,但是需要注意更改保存日志文件的日期标签。你可以扫描结果来确定移动的项目已经被彻底清除,或者只需保存你电脑状态的快照,快速清除就可以了(这样会对下一次进行同样的操作产生一个有意义的参照状态)。
我建议将以上检测过程列入系统正常维护之中,可以经常性地执行操作,如每个月一到两次,至少每三周进行一次。
反间谍软件和反广告工具有:
Hijack This
WinTasks 5 Professional
Security Task Manager
免费日志分析软件有:
Help2Go Detective
Hijack This Analysis
下面介绍一下步骤:
1.在使用某种商业软件或免费软件的工具检查之前,尽可能地将机器清理干净。运行防病毒软件或反间谍软件扫描,一旦发现一些异常的项目立即清除。有关这一主题的内容在网络上有许多。需要注意的是,在进入下一步之前,专家们强烈建议使用并运行一种以上的杀毒、反间谍软件扫描以便达到彻底清理。
2.建立一个检查点或者对系统作备份。如果你使用的是Windows XP,那再方便不过了,这样很快就能建立一个系统恢复点(依次打开:开始菜单→帮助和支持→使用系统还原恢复你对系统的改变,然后点击创建一个还原点的按钮)。当然还有其他的方法(对于那些使用Windows家族其他操作系统的人来说是唯一的方法),就是创建一整套系统的备份,包括系统状态信息(如果其他办法都不可行的话,你可以使用NTBackup.exe文件,它包含了所有Windows新版本的信息)。这样的话,万一在接下来的步骤中出了差错,还可以将你的系统恢复到前一个正确的状态。
3.关闭所有不必要的应用程序。一些反间谍软件从电脑运行的所有线程和注册表中查找不正常迹象,因此先退出所有应用程序再启动反间谍程序运行检查,可以节省大量时间。
4.运行反间谍程序。在这一步,我使用了Hijack This这个软件。将下载回来的Zip文件解压到你想要的目录,然后双击HijackThis.exe这个执行文件,会跳出一个带有提示“Do a system scan and save a logfile.”的窗口。默认状态下,日志文件会保存在“我的文档”中,我发现在保存的日志文件名称中加入日期和时间信息很有用,这样的话,一个名为hijackthis.log的文件就改名为hijackthis-yymmdd:hh.mm.log(hh.mm是24小时制的几点几分)。这样的话,以后你任何时候再次运行Hijack This(一旦开始运行,它会自动清空以前的日志),都不必担心丢失以前的日志。因此,时间标记不愧是个很好的方法,这对将来你的日志文件分析非常有用。
5.查看Hijack This结果窗口中显示的扫描结果。这个结果与写入日志文件的信息是相同的,并且你会发现在每一个项目的左边都有一个复选框。如果你核选了某些项目,按下“Fix Checked”按钮, Hijack This就可以将其彻底清除了。你会发现在那里有很多看上去秘密的文件,你可以对其进行快速扫描,以决定在这时采取何种操作。实际上,真正存在的问题是识别出哪些文件具有潜在的威胁,哪些是必须的,而哪些是无关紧要的。此时分析工具能够帮上我们的大忙。记住,现在不要关闭Hijack This的查找结果窗口,也不需要进行核选操作,因为在接下来的步骤中我们还会返回到这个窗口。
6.用Hijack This的日志分析程序运行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 这两个分析工具中的一个。如果两个软件都有的话,我个人倾向于Help2Go Detective,但这两个都值得一试。在Hijack This日志里,你会发现每一个入侵(线程)的特殊信息和相关处理建议,包括哪些可以保留,哪些可以删除(但却是无害的),哪些是可疑文件(或许应该删除,但是还需要进一步分析研究),以及哪些必须删除(因为确定是恶意病毒)。这时,你可以检查所有被确认为恶意病毒的选项,或者与已知的间谍软件和广告软件有关的选项。
7.检查可疑项目(包括可选的激活项目)。有时你可以查看注册表名称或者相关文件和目录信息,来检查即使通过分析程序也没有识别出的项目(使用Hijack This很明显发现的),这可能是你故意安装或使用的程序的一部分。这些项目经常会被单独地遗留下来。如果检查程序和你认为的都没有发现这些项目,安全选项就会将它们备份然后删除。(然而如果你采取了这个步骤,那么要挽救这种状况只有存储一份备份文件或者返回到前一个恢复状态。)如果你想知道你在查看的是什么文件,就进入下一个附加步骤,用google或其他搜索工具搜索项目的名称。在99%的情况下我都可以在两分钟或更少时间内作出批准与否的决定。只有一少部分项目,最显著的是dll文件不仅仅需要通过文件名的搜索验证来裁留。
8.在Hijack This结果窗口核选有害文件和不确定的可疑项目,然后按下“Fix checked”按钮。你也可以在结果窗口中滚动查看项目,并通过单击来高亮选择单独的项目,接着通过点击“Info on selected item….”(选中项目的信息……)来获取这些项目的额外信息。这时来查看这些信息比在上一步骤查看更合适,因为这时分析工具的速度更快而且面向对象更友好。
9.重启系统查看运行情况。如果系统有运行不正常现象,如应用程序不工作或变得异常,或者系统看上去不太对劲时,你需要决定是否需要返回到恢复状态或备份状态。如果Windows不能完成启动,在系统启动之初按下F8键,直到启动进入安全启动菜单,选择最后一次正确的配置。这样启动就没有问题了,系统启动之后你还需要退回到恢复点,或者恢复到在第二步备份的状态。如果你接收这个选项的话,就不需要保存改动了,可以直接越过第10步。
10.最后再运行一次Hijack This扫描:重复步骤4,但是需要注意更改保存日志文件的日期标签。你可以扫描结果来确定移动的项目已经被彻底清除,或者只需保存你电脑状态的快照,快速清除就可以了(这样会对下一次进行同样的操作产生一个有意义的参照状态)。
我建议将以上检测过程列入系统正常维护之中,可以经常性地执行操作,如每个月一到两次,至少每三周进行一次。
反间谍软件和反广告工具有:
Hijack This
WinTasks 5 Professional
Security Task Manager
免费日志分析软件有:
Help2Go Detective
Hijack This Analysis