XueTR使用简介

XueTR使用简介2•补充知识•XueTr简介•XueTr能做什么（常用功能）•综合应用•参考资料Agenda3进程与线程:一般来说,我们把正在计算机中执行的程序叫做进程(Process),而不将其称为程序(Program)。所谓线程(Thread),是进程中某个单一顺序的控制流。一个程序中同时使用多个线程来完成不同的任务。线程的状态：●产生、就绪、运行、阻塞、结束线程优先级：Windows系统有0~31共32个优先级值。大于15以上的优先级全部是Real-time级的优先级线程注入：注入模块dll补充知识—名词解释（一）进程模块线程4校验数字签名：句柄：句柄是一个标识符，用于标识对象（窗体、设备等）的。它像汽车的牌号，一一对应，各不相同，但是也可能在不同的时期出现两辆号码相同的车，只不过它们不会同时处于使用之中。进程与父进程：父进程进程Winload是终极父进程名词解释（二）数据文件数字签名摘要一个完整文件散列值5应用层访问状态：表示某个进程是否允许其它进程在应用层打开，一般的安全软件为了保护自己，会禁止其它进程打开自己。全局钩子：（盲目恢复钩子可能导致蓝屏）大部分全局钩子会触发Dll模块注入到其它进程，有不少病毒会利用注册全局钩子来实现模块注入，在注入的模块里实现自己的功能，也有恶意程序通过注册全局的键盘钩子等来截获键盘记录。所以，手工杀毒应先去钩子，后卸载可疑全局模块名词解释（三）6Rootkit：主要功能为隐藏其他文件或进程的软件，可能是一个或一个以上的软件组合；Hook：中文意思为钩子。使它能够将自身的代码“融入”被hook住的程序的进程中，成为目标进程的一个部分。与全局钩子定义相同。SSDT：系统服务描述符表。这个表就是一个把ring3的Win32API和ring0的内核API联系起来。修改此表的函数地址可以对常用windows函数及API进行hook。SSDTHook很常见，很多安全软件和病毒都会进行SSDTHook有些名称不讲解：系统回调：这里的回调函数一般是指在系统内核发生某件事的时候调用的某些事先注册好的函数，以达到监控系统运行等情况的一些函数DPC定时器、直接IO等名词解释（四）7XueTr简介1、2、AntiRootkit常见杀毒软件都有ARK功能的模块8不支持64位系统（驱动问题）白板提示（重复加载XueTr驱动）运行XueTr的电脑加驱失败、突然重启甚至蓝屏（反外挂或其它程序带有禁止SYS加驱，谁先加了谁有优先权）XueTr一直在更新使用XueTr中会遇到的XueTr的另一面9XueTr能做什么XueTr任务管理器暂停线程SSDT恢复注册表编辑IE插件管理启动服务项调整文件操作卸载模块其他实用功能：MBRRootkit检测映像劫持检测LSP修复安全模式修复10任务管理器—进程常用功能（一）11进程中常用：查看模块、查看线程、查找未签名模块、强制结束进程、校验所有数字签名XT颜色说明：1.驱动检测到的可疑对象，隐藏服务、进程、被挂钩函数----红色2.文件厂商是微软的----黑色3.文件厂商非微软的----蓝色4.如果您效验了所有签名,对没有签名的模块行---粉红色5.进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的----土黄色任务管理器—进程常用功能（二）12文件操作避免因HookExplorer进程导致再次感染病毒。（常规“计算机”-双击打开文件夹操作有风险）可快速搜索文件可删除“顽固”文件（与Unlocker功效相同，因Ring0级，可直接进行文件系统操作，无需经过操作系统）校验文件数字签名、MD5值计算SSDT恢复默认显示Hook函数因SSDTHook很常见，为取得高权限（Ring0）必经之路，所以在检查时，要校验函数被使用模块的数字签名。据此决策函数是否需恢复。常用功能（三）13启动项、服务项修改包含内容较多，要区分启动项、打印监视器、已知Dll（系统提前自动注册常用DLL，避免被恶意替换导致不稳定）、鼠标右键、已安装组件、计划任务常规方法：可依据名称来判断是否需优化。辅助手段可依据数字签名。推荐在这里面查，在msconfig中修改（客户有吃后悔药的习惯）XT适合解决隐藏的启动项处理，及批量消除病毒导致的恶意启动项IE插件完善的显示（包含：BHO、BE、Hook、ActiveX分发单元）IE仅能显示BHO和ActiveX，注册信息不完整的也看不到全面的删除（注册表删除、文件删除）文件定位（方便删除同目录其他内容）常用功能（四）14注册表编辑批量操作（查找、删除、导出列表）注册表编辑器如被禁用，XT注册表功能不受影响常用功能（五）15•补充知识•XueTr简介•XueTr能做什么（常用功能）•综合应用•参考资料Agenda16用XT优化系统检查进程检查启动项、服务项、计划任务检查IE插件整理磁盘碎片、清理临时文件（非XT功能）选做项目：−MBR检查−防火墙规则检查−Hosts文件检查综合应用（一）17检查计算机是否中毒检查进程的数字签名检查是否有名称异常且无文件厂商信息的驱动SSDT除常见杀毒软件的Hook外没有异常信息如果用户怀疑自己鼠标键盘被人控制（远程RTO除外），检查内核钩子-鼠标-键盘挂钩函数IE怀疑中毒，检查IE插件检查启动项、服务项是否有可疑内容鉴于MBR类病毒隐藏很深，可增加MBR检测综合应用（二）18手工杀毒的一些方法有些温和病毒适合查找并删除病毒创建的文件，恢复MBR。恶性病毒则需要对可能发生的系统篡改做全面修复，大致步骤如下：1.结束可疑进程，对于关键系统进程被线程注入（如Winlogon、explorer、ctfmon、Services、Spoolsv等）清理过程为先杀/暂停线程。2.恢复进程钩子和应用层hook。3.全局卸载病毒模块。4.检测驱动模块是否可疑（如系统文件没版权信息等，被标示为蓝色）。5.系统回调是否可疑（标示红色，及NDIS创建的内容）。6.之后再检查DPC定时器和对象劫持。7.检查System进程的线程。8.解除FSD异常钩子。如果钩子被解除后再次挂上，检查工作队列线程是否异常。9.最后检查启动项、Hosts文件、服务项。10.结束说在最后19病毒发作与手工杀毒流程说在最后Virus释放文件释放全局Hook进程钩子SSDT钩子内核钩子线程注入（启动模块、启动线程）1.先暂停线程2.取消钩子3.全局卸载模块4.删除释放文件20参考资料1.对XueTr的一些个人建议=viewthread&tid=7501782.通过还原Hive文件来分析木马功能帮助文档4.详解Win7启动过程://baike.baidu.com/view/350343.html?wtp=ttGoodBye!