Board logo

标题: 常见的安防辅助工具大集合 [打印本页]
作者: 2000gaobo    时间: 2008-7-18 17:07     标题: 常见的安防辅助工具大集合


[/url]常见的安防辅助工具大集合


  感谢原作者runsisi  

常见的安防辅助工具,收集了很多朋友的分享,谢谢这些朋友,论坛因为你们的分享而美好,也感谢软件的作者们,感谢你们的付出!
这些只是比较常见的安软辅助工具,个人认为比较有用的,不太常见就没列出了,应该说是很新的版本了,也许我会更新本帖,但如果没时间或者说没精力就不会修改啦 >_< ,希望大家能从中挑选到适合自己的工具。在几个软件后边会有些介绍,觉得有用的朋友可以看看。



㈠ 优盘免疫

手工:
需要指出的是,网络上流传着不少对付AUTORUN.INF的方法,都是治标不治本:例如传说中修改注册表这个位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]  "NoDriveTypeAutoRun"=
什么“把"NoDriveTypeAutoRun"的值改成95”,就算你改成FF也没有用!因为那只是防止自动播放,咱要的是双击驱动器盘符时,直接进入磁盘文件夹而不是运行AUTORUN.INF所关联的程序!

通过rd /s /q,可以直接删除包含带点目录的autorun.inf目录;
通过改名操作,也可以直接对包含带点目录的autorun.inf目录进行重命名;
禁用Shell Hardware Detection,会使得系统无法识别CD/DVD的驱动器类型;
最重要的是,就算禁用了自动运行,大部分的用户,还是因为在我的电脑里面的双击盘符操作,而”手动调用自动执行”,从而感染病毒……OK,今天的主角出场!
开始运行regedit定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\MountPoints2;
在MountPoints2上右键——权限;
添加——输入everyone——检查名称——确定;
选择完全控制栏的拒绝,应用,对安全警告回答是;
应该算是比较完美的方案了:经过这样的权限设置,任何情况下的autorun.inf调用将被屏蔽,在默认状态下,带autorun的光盘和优盘被装载的时候,目录会被打开,双击盘符的结果是打开目录,而不是执行程序,同时,右键也不会出现任何形式的自动运行菜单。
分析一下,那个键值应该就是Windows用来记录和管理双击盘符和盘符上的右键菜单的,在里面查找,然后决定执行什么操作,仔细查看的话,你会发现更多的内容。我们把这个键值的操作权限对everyone屏蔽之后,系统无法访问到这个对应表,于是只有打开的操作。
同理:设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
的权限可以阻止映像劫持

工具:

①auto病毒清除免疫器  MSCD专用版

[attach]101238[/attach]

1.免疫功能方面不仅可以用户手选硬盘或U盘,同时此软件生成的Autorun.inf目录保护性更强,如果是在NTFS格式的分区下,还被加上了用户权限,连打开也做不了,一般的DOS命令也无法删除(在Fat32上的保护性就跟同类软件一样了)。
2.支持“智能查杀Auto病毒”,具体用意如下:如果运行此软件时,硬盘根目录下已经有Autorun.inf文件,会自动查杀里面的[autorun]字段中的关键字“OPEN=”后面的内容,因为如果是Auto病毒,那么后面的就表示了它的真正地址。比如有一个新病毒名为:aabbbcc.exe,感染后进驻硬盘,建立了新文件夹"dddee",那么对于一般的同类软件,因为常规是按照常见的病毒名称来查杀,那么当然对付不了它,而此软件因为直接识别它写入Autorun.inf里的信息而得知它的藏身之处,故可以成功将它彻底清除。写到一定境界,查杀速度几乎是不相上下,到了后来的更新,往往是在增加新的病毒上面,而别的方面并没有太多的改进,那么这时候再推出新版的软件,意义只有一个,就是增加新的可查杀病毒。而我的这个软件,在目录下有个killall.txt文件,可以由用户自己将新的Auto病毒的名称写进去,那么软件运行时会自动识别新的病毒,等于是用户自己可以扩充病毒库。

3.支持带参数运行。目前有两个参数:"/kill"表示静默运行,并且查杀所有硬盘分区上的Auto病毒;"/killmy"参数表示静默运行,查杀所有硬盘分区上的Auto病毒,并在查杀之后建立免疫。于是可以实现克隆系统在恢复过程中的自动清除Auto病毒及免疫操作。
同理,设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
的权限,可以阻止映像劫持
[attach]101239[/attach]

②超级巡警U盘病毒免疫器


[attach]101240[/attach]

本工具可对选定磁盘进行特别的免疫处理,使得它的自动运行特性完失效,从而避免带毒的移动磁盘插入本机后病毒立即自动执行。本工具还具备修复系统磁盘关联和取消系统自动运行特性,彻底解决某些杀毒软件在杀除病毒后无法打开磁盘的症状。
注:如果不选择任何磁盘,将执行附加功能,即修复磁盘关联和取消系统自动运行特性。

[attach]101241[/attach]

③NTFS优盘防护设置

[attach]101242[/attach]


1.拒绝在优盘根目录创建文件
2.拒绝直接篡改替换优盘文件
3.拒绝篡改优盘子文件夹属性
4.给优盘安装[AUTORUN终结者],使被插电脑免疫AUTORUN.INF
注:请事先手动把优盘格式化成NTFS文件系统,否则没用!如果是MP3,可能会因为不支持NTFS而无法正常播放,建议放弃对MP3进行NTFS格式化。

[attach]101243[/attach]


④correct_auto

没有图片,因为没有运行界面  >_<
此工具用于解决硬盘分区双击打不开的问题

[attach]101244[/attach]


㈡ 系统修复

①恢复隐藏文件

[attach]101245[/attach]

[attach]101246[/attach]


②修复被禁用的注册表

[attach]101247[/attach]

[attach]101248[/attach]


③修复常用关联

[attach]101249[/attach]


[attach]101250[/attach]

④修复安全模式

[attach]101251[/attach]


[attach]101252[/attach]

⑤病毒残余清理

[attach]101253[/attach]


[attach]101254[/attach]


⑥WinsockFix

[attach]101255[/attach]

[attach]101256[/attach]


⑦IFEO映像挟持修复

[attach]101257[/attach]


[attach]101258[/attach]

[attach]101262[/attach]


⑧Windows脚本宿主修复

[attach]101259[/attach]


1、将wscript.exe与cscript.exe复制到C:\windows\system32\目录下。覆盖。
2、分别双击“Windows脚本宿主修复1.reg”与“Windows脚本宿主修复2.reg”导入注册表修复。
3、在运行中输入Regsvr32 vbscript.dll回车,将此dll注册。能解决找不到脚本引擎的问题。
这样你就可以使用VBS、JS了。BY 余弦函数 2007.6.5 [url=http://hi.baidu.com/ycosxhack]http://hi.baidu.com/ycosxhack

[attach]101260[/attach]


⑨360系统时间防改器

[attach]101261[/attach]


[attach]101263[/attach]




㈢ 注册表工具

①RegScanner

[attach]101264[/attach]

RegScanner is a small utility that allows you to scan the Registry, find the desired Registry values that match to the specified search criteria,and display them in one list. After finding the Registry values, you can easily jump to the right value in RegEdit, simply by double-clicking the desired Registry item. You can also export the found Registry values into a .reg file that can be used in RegEdit.

[attach]101265[/attach]

②RegWorkshop

[attach]101266[/attach]


很方便的注册表编辑工具

[attach]101269[/attach]


㈣ 系统检测等

①    ListDLLs

[attach]101267[/attach]

运行时请重定向

[attach]101268[/attach]


②    Handle

[attach]101270[/attach]


运行时请重定向

[attach]101271[/attach]

③    autoruns8.73

[attach]101272[/attach]


靠他可以清除90%的木马,因为大多数木马没有自启动保护
Autoruns的使用教程:
http://www.jcwcn.com/html/youhuazq/08_18_43_992.htm

[attach]101274[/attach]

④process monitor

[attach]101273[/attach]

Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds an extensive list of enhancements including rich and non-destructive filtering, comprehensive event properties such session IDs and user names, reliable process information, full thread stacks with integrated symbol support for each operation, simultaneous logging to a file, and much more. Its uniquely powerful features will make Process Monitor a core utility in your system troubleshooting and malware hunting toolkit.
其实普通用户没多大用,可以记录进程的所有动作

[attach]101276[/attach]

⑤Process Explorer

[attach]101309[/attach]

可代替系统任务管理器,以进程树形式显示


[attach]101310[/attach]

⑥DTaskManager
[attach]101275[/attach]


DTaskManager is, obviously, a Task Manager.  It has been designed specifically to furnish a series of advanced functionalities above those provided by the Windows Task Manager, while providing all of the functionality of the Windows Task Manager.  It also maintains a similar look and feel.
虚拟内存显示的数据有点问题,可代替系统任务管理器,杀进程功能很强大,分多个级别结束进程

[attach]101277[/attach]

⑦无驱系统检测工具

[attach]101278[/attach]


无驱的ssdt检查,不用调权可以杀死大部份的进程。进程检查可以检查出一些隐藏的进程,具体如何大家自已试验。Wangsea出品  注意:在我机器上有bug

[attach]101279[/attach]


⑧ESET SysInspector

[attach]101280[/attach]


ESET SysInspector is an application that thoroughly inspects your computer and displays gathered data  in comprehensive way. Information like installed drivers and applications, network connections or important registry entries can help you to investigate suspicious system behavior be it due to software or hardware incompatibility or malware infection.
日志超级详细,可惜只能看,不能用他来修改设置
感谢卡饭的汉化作者

[attach]101283[/attach]




㈤ 反黑利器

①    RootkitRevealer

[attach]101281[/attach]

Since persistent rootkits work by changing API results so that a system view using APIs differs from the actual view in storage, RootkitRevealer compares the results of a system scan at the highest level with that at the lowest level. The highest level is the Windows API and the lowest level is the raw contents of a file system volume or Registry hive (a hive file is the Registry's on-disk storage format). Thus, rootkits, whether user mode or kernel mode, that manipulate the Windows API or native API to remove their presence from a directory listing, for example, will be seen by RootkitRevealer as a discrepancy between the information returned by the Windows API and that seen in the raw scan of a FAT or NTFS volume's file system structures.

[attach]101284[/attach]


②    Rootkit Unhooker LE

[attach]101282[/attach]


[attach]101285[/attach]


③    gmer1.0.13

[attach]101286[/attach]


[attach]101288[/attach]


④    sreng2.5&分析助手


[attach]101287[/attach]

System Repair Engineer,简称 SREng,是 KZTechs.COM 网站站长 Smallfrogs 开发的一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。
在 System Repair Engineer (SREng) 的帮助下,可以自己诊断操作系统里面可能存在的普遍性问题,即使是计算机的初学者,也可以使用 System Repair Engineer (SREng)  的智能扫描功能将系统的概况生成一份简要的日志,然后将该日志传送给对操作系统熟悉的朋友或网友,在他们的帮助下解决您系统可能存在的问题。
FAQ:
1)    如果API HOOK检测中无法定位是由那个模块进行HOOK的,则会显示具体的地址而不是模块路径。
2)    如果API HOOK修复功能无法修复目前情况,请按照提示操作,如果已经更新到最新版本,请等待后续版本的改进。
3)    API HOOK修复功能只修正当前System Repair Engineer (SREng)进程,如果修复以后再起启动System Repair Engineer (SREng),还是会看到提示信息。
4)    可疑文件自动提取功能如果发现有一个文件同时符合多个提取选项,那么只有执行的第一个提取选项会被执行,后面的提取选项会自动跳过。此举是为了消除冗余文件和降低总的文件大小和数量。
5)    在 Win 9x/ME下,受制于操作系统本身的限制,在使用可疑文件复制功能时,会将一些系统文件也复制出来。
6)    如果选中了复制可疑文件到指定目录功能,则扫描速度会减慢10%用于文件的复制。此时扫描进度条可能会停止在90%的地方直到全部扫描结束。
7)    隐藏进程检查功能对同一个文件同时隐藏的两个进程实例,只会报告一次。
8)    某些反病毒软件的安全保护功能可能会对SREng的隐藏进程检查功能产生干扰导致SREng错误识别。
9)    BOOT.INI、AUTOEXEC.BAT、CONFIG.SYS文件必须位于 C:\ 路径下面。
10) 对列表内容排序以后,原本可能存在的高亮颜色将丢失。
11) 服务枚举对话框在高速移动选中焦点时服务名会有重叠。

Sreng是论坛求助的必须!压缩包里提供了现有的所有扩展。
sreng使用:
Sreng最通常的用途是提供日志文件供论坛求助使用,很多朋友看到sre日志密密麻麻一大版的估计早就晕了,其实做个有心人,学会看看他的日志还是很有用的,况且他的日志只是看上去复杂而已,看看下边文章就会有所了解的(sreng的其他辅助功能还有很多,大家可以认真看下边链接的使用说明):

[attach]101292[/attach]


[attach]101291[/attach]


如果刚开始不太习惯看sre的日志,可以试试这个日志分析助手,分类放置而且滤去了很多东西,很清爽的,呵呵

[attach]101293[/attach]


⑤    XDelBox1.6

[attach]101294[/attach]


Dos删除功能,说实话没用过这个东西,因为有下边的强悍工具一切都可以免了!

[attach]101296[/attach]


⑥    ICESWORD

[attach]101295[/attach]


估计是国内最出名的安全工具了,功能很强大,但没有wsyscheck方便易用,估计是pjf太忙了,没时间来修改

[attach]101299[/attach]

[attach]101300[/attach]

⑦    Wsycheck

[attach]101297[/attach]


同样是Wangsea的大作,作者基本上是每天更新,每天都在进步,和is一样强大而且易用性远远超越同类软件!windows环境下的删除功能没有is强大,但wsyscheck有重启删除和dos删除功能,足够强大了。他自带的说明可以好好可以看看。

[attach]101301[/attach]

难道有人不知道is和wsyscheck这两个软件吗,呵呵!

刚看有人好像喜欢看网络连接类的软件  其实这些软件太多了,is,wsyscheck,cports等很多很多


[attach]101298[/attach]
作者: NSX    时间: 2008-7-18 17:07

看了不错,顶你一下
作者: yemao4587    时间: 2008-7-18 17:07

作者: powerfive    时间: 2008-7-18 17:07

一般来说,要高级用户才能安全使用的,不能乱用.
作者: =wayne=    时间: 2008-7-18 17:07

[url=http://bbs.360safe.com/misc.php?action=viewratings&tid=375624&pid=2040746][/url]谢谢LZ的分享啊 ,收藏了
作者: paul    时间: 2008-7-18 17:07

一般来说,,不要乱用.
作者: 佳仔    时间: 2008-7-18 17:07

的确是精华!
作者: XYFHID    时间: 2008-7-18 17:07

[url=http://bbs.360safe.com/misc.php?action=viewratings&tid=375624&pid=2041618][/url]貌似在深度有啊
作者: auqa    时间: 2008-7-18 17:07

[url=http://bbs.360safe.com/misc.php?action=viewratings&tid=375624&pid=2041843][/url]回复 #1 lxcn19850202 的帖子
作者: langchen    时间: 2008-7-18 17:07

好东西支持.顶了
作者: XIELLP    时间: 2008-7-18 17:07

好东西就要顶
作者: 草本刚    时间: 2008-7-18 17:07

不错不错
作者: 车BB    时间: 2008-7-18 17:07


[/url]

QUOTE:
原帖由 xianger2008 于 2007-12-5 20:50 发表 [url=http://bbs.360safe.com/redirect.php?goto=findpost&pid=2041618&ptid=375624]
貌似在深度有啊
没看到图片嘛。就是转来的啊
作者: 非法操作    时间: 2008-7-18 17:07


[url=http://bbs.360safe.com/misc.php?action=viewratings&tid=375624&pid=2043180][/url]支持下!






作者: ming312    时间: 2008-7-18 17:07

内容很强大 覆盖面很广  呵呵收藏了
作者: 纯银    时间: 2008-7-18 17:07

回复 #1 lxcn19850202 的帖子
作者: 哑雪    时间: 2008-7-18 17:07

这些小工具都有自己的优势啊!
作者: 极速BOY    时间: 2008-7-18 17:07

谢谢LZ的分享



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2