瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 菜鸟学堂 » 以XueTr为例教你用ark工具检查系统(转)
Zino_Davidoff - 2011-1-21 15:17:00
转自卡饭,写的很详细:kaka1:

何谓ark?
ARK英文全称:Anti Rootkit
ARK工具:反内核工具
可以获得系统最高权限,可以查看进程模块,查看隐藏进程,从而揪出木马病毒的一类工具
最有名的ark莫过于冰刃了,可谓人尽皆知,但可惜已经很老了,在新兴ark中最优秀的莫过于XueTr:

这里我介绍一些最常用的功能。帮助正在学习中的童鞋们快速入门,学会怎样用ark工具检查系统。
1,进程

当你双击xuetr图标后首先弹出的便是进程栏。进程栏下面有三项:进程,隐藏进程,应用层不可访问进程。如果发现有隐藏进程,以及超过一个应用层不可访问进程就要小心了,一般来说不会有隐藏进程,应用层不可访问进程一般只有一个(就是XueTr的进程)


为了分析方便,我们可以右键,选择:在下方显示模块。接着再右键,选择“校验所有数字签名”,如图,


1.驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数 ----> 红色
2.文件厂商是微软的 ----> 黑色
3.文件厂商非微软的 ----> 蓝色
4.如果您效验了所有签名,对没有签名的模块行 ---> 粉红色
5.进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的 ----> 土黄色


这时对于所有非黑色的进程都要检查一遍,看看是否有陌生进程,是否有数字签名,路径是否正确(比如一个貌似是系统文件的,却没有数字签名,路径很离奇(在临时文件夹下等)这时就应立即怀疑到那个文件。对于可疑的文件应立即右键,选择“复制文件名”然后上百度,谷歌,并且上传VT检查。如果确认是病毒,立即选择“强制结束进程并删除文件”解决掉病毒。


2,驱动模块
驱动模块是用来模拟被测试模块的上一级模块,相当于被测模块的主程序。它接收数据,将相关数据传送给被测模块,启用被测模块,并打印出相应的结果。 许多病毒通过加载驱动模块来获得系统的底层权限。
打开驱动模块栏后,右键,选择“校验所有数字签名”,这个过程可能会想稍慢,要耐心等待。




这时对于红色项要格外注意,很有可能就是病毒的驱动。当然也有不少是正常厂商的驱动,因为有些厂商偷懒,没有给自己软件的驱动加数字签名,当然个人开发的程序就更不可能有数字签名了,即使有数字签名也是一定就是安全文件。只是相对而言,安全的可能性比较高而已。这时就需要经验了,对于不能肯定的驱动建议上VT扫描。


对于确定是病毒驱动的驱动有下列处理方法:
1,删除驱动(文件)表示仅仅删除驱动程序的文件
2,删除驱动(文件和注册表):表示不仅删除驱动程序的文件,还会删除与这个驱动程序对应的服务等信息的注册表键值。遇到驱动文件不存在的情况,会提示失败,但仍然会删除注册表相关信息。
3、卸载驱动(危险):卸载驱动程序是一个相当危险的操作,强烈建议您不要这么做,除非您有充分的把握,另外Win7下卸载驱动好像有Bug,卸载无关痛痒的驱动也会导致蓝屏


有的时候会出现“文件不存在”的现象,这有可能是残余项,也有可能是像XT那样的拒绝一切对其访问的文件驱动,这时应格外注意,有可能就是碰到非常牛X的病毒了。

3,内核
这里主要注意过滤驱动和对象劫持
过滤驱动:就是挂载在其他驱动上,对某设备的irp进行拦截过滤,可以对设备进行功能扩展,或是数据加密等,很灵活。
有许多病毒通过这种手段隐藏自己。


对象劫持:如果您的系统出现一些劫持情况,也不必惊慌,这可能是正常现象,因为有些安装有些杀毒软件会出现这个情况。如果是非杀软,就要特别注意了。


4,内核钩子
首先是SSDT,


SSDT:SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。
以上是定义,简单点说通过他可以监控系统内文件的行为。因此有可能被病毒利用。如果发现不属于HIPS、防毒软件、系统监控、注册表监控软件的程序,应立即右键,选择“恢复”(切勿选“恢复所有”否则你的杀软会挂掉)


Shadow SSDT同样也要注意,如果发现非安全软件的程序应立即恢复。


还有键盘,鼠标,有不少盗号病毒会挂钩鼠标,键盘来窃取信息。


5,应用层钩子
这里主要要注意消息钩子,尤其是全局消息钩子,有很多病毒通过加载这种钩子来窃取黑客想要的信息。比如密码等。


6,注册表,文件
XT的注册表编辑器主要是一种高级的注册表编辑器,这里不介绍了。

7,启动项
启动项要特别注意,毕竟病毒要想随机启动一般都会注入启动项的。这时应选择“校验所有数字签名"一项。如果发现粉红色的项应该立即上传VT扫描,如果确认是病毒应立即选择“删除启动信息及文件”一项,干掉病毒。有的时候可能会出现找不到文件的情况,这时就说明这是残留项,可以放心删除。






8,服务
病毒通常会加载某些服务来达到某种目的。打开后应选择“校验所有数字签名”一项,这时重点看没有数字签名的项,当然“已停止”的服务没必要去看,多半是残留项。如果确认是病毒的服务可以右键,选择“停止”,“删除”,“禁用”这样就可以解决掉病毒服务,或使病毒服务失去效力。


Zino_Davidoff - 2011-1-21 15:17:00
9,系统杂项
首先是文件关联,有些病毒会修改文件关联达到破坏系统,使病毒启动的目的。界面中红色的项就是异常项,通常可直接修复。但也要注意,你用的一些软件也有可能会修改文件关联,要注意甄别。


再有就是映像劫持,


所谓的映像劫持IFEO的定义如下:
  当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。

所以很多病毒会通过这种方式来禁用杀软,或安全工具,这里一般的程序是不会创建项的。因此这里一般为空,如果出现了项,而且杀软无法打开的话,99.9%是中病毒了。应立即选择“删除IFEO”一项,干掉映像劫持项。


接下来是杂项,


这里用来修复病毒造成的异常,有的病毒会锁定一些系统功能来阻止用户手杀病毒,在这里就可以解锁。
在这里还可以检测MBR,以检测是否中了鬼影之内的引导区病毒。还有,强烈建议平时备份一份mbr,以防止中引导区病毒时束手无策。




还有,有的病毒为了防止用户进入安全模式删除病毒文件,还会破坏安全模式,这是点击右边的“修复安全模式”即可。
终于编辑好了,用了我两个小时多!虽说这样,还是免不了可能有错误,请诸位高手指出。
njuptzc - 2011-1-21 23:21:00
好详细啊~~受教了。。
goto2 - 2012-2-26 19:53:00
受教了。。
1
查看完整版本: 以XueTr为例教你用ark工具检查系统(转)