2007-12-31 21:02:48電腦欠扁.kk@台中
利用SandBoxie(沙盒)調查可疑的檔案
以下文章轉貼自 = http://tinyurl.com/3xzp5a
我已經張貼一篇文章,約sandboxie可讓你平安運行可疑或來路不明的節目,在虛擬空間.在不影響您的計算機。讓我們說,當你運行一個木馬在沙盒,你就暫時感染者和攻擊者仍然可以連接到您的計算機。但是,一旦你終止sandboxed木馬過程中,它造成的攻擊者的連接和你的系統仍然安全免受感染。即使你忘掉終止sandboxed過程中,它就會自動刪除,一旦你重新啟動計算機。
問題是,你怎麼能夠確定是否有可疑文件是一個威脅或沒有?如果您不知道如何,我會教你如何使用sandboxie檢查,如果sandboxed文件是一個流氓軟件。
我會做測試與optix親特洛伊木馬程序。是一個可配置遠端存取工具或木馬程式,使攻擊者擅自進入被感染的計算機,類似subseven或bo2k 。它不再是在發展,並檢測所有的反病毒程序。
我碰到optix親木馬與sandboxie用我的鼠標右擊該文件並選擇 "運行sandboxed " 。
對sandboxie程序的界面,我可以看到msiexec16.exe被裝在這個過程中的名字。
你有沒有通知任何可疑這裡嗎?原來的可執行文件是virus.exe現在又變成msiexec16.exe 。如果這一進程名稱的更改,這是可疑。
接下來,讓我們看看內容啤酒館。就在菜單欄中,單擊功能->內容的啤酒館- >探討的內容。
我看到一個文件夾中的"驅動器" ,還二日檔案, reghive和reghive.log 。
從"驅動"文件夾中,我發現這種木馬改名本身msiexec16.exe並抄送到c : 窗戶 system32 。
對於reghive檔案你看,它是什麼,是安裝在登記處作為一個子密鑰。看到reghive文件,你必須負荷,它在你的windows註冊表編輯器。"你們面前裝入reghive到註冊表,你必須終止當前的啤酒館第一,否則你會得到錯誤消息" 不能負荷reghive :進程不能存取文件,因為它是用另一種程序" 。以終止目前的啤酒館,點擊功能菜單欄,選擇終止sandboxed過程 ->在當前的啤酒館。
終止後,目前沙盒,你可以裝入reghive在註冊表編輯器中去,以開始-> "運行類型註冊表。選擇hkey_users ,到檔案->負荷蜂房和瀏覽為r eghive檔案。
我用sandboxie方便市民辨認。當reghive是裝貨,一個新的關鍵" sandboxie "就會出現。
我查了登記處,發現這裡還有一個進入msiexec16.exe在一間窗戶autorun位置。含義每當windows是啟動了,它會自動運行msiexec16.exe 。
大家可以看到,有這麼多的原因,使這個文件看起來像一個惡意軟件。你可以上傳到 VirusTotal掃描32個殺毒。如果不查出任何病毒,你可以提交給反病毒公司,他們要檢查。這裡是一個名單上的網站,你可以提交一份可疑文件:
1. 1 。 Nicta Software Anti-Virus Technologies據路透社軟件防病毒技術
2. 2 。 Norman Sandbox Information諾曼啤酒館信息
3. 3 。 Computer Associates (CA)計算機協會(鈣)
4. 4 。 ClamAV clamav
5. 5 。 Trend Micro趨勢科技
6. 6 。 Sophos sophos的
7. 7 。 VigorPro vigorpro
8. 8 。 Authentium Thread Matrix authentium螺紋矩陣
9. 9 。 Hauri hauri
10. 10 。 Alladin阿利亞丁
11. 11 。 F-Secure f - secure公司
12. 12 。 Symantec賽門鐵克
13. 13 。 Kaspersky (Email to newvirus@kaspersky.com)卡巴斯基(電郵給newvirus@kaspersky.com )
有undetectable私人版本木馬正在出售的木馬作家,你根本不知道你正在被感染,並進行監測。如此使用sandboxie每當你可以當你想運行任何郵件中的附件檔案,從互聯網上下載或什至從一個文件收到很多來自朋友。
我已經張貼一篇文章,約sandboxie可讓你平安運行可疑或來路不明的節目,在虛擬空間.在不影響您的計算機。讓我們說,當你運行一個木馬在沙盒,你就暫時感染者和攻擊者仍然可以連接到您的計算機。但是,一旦你終止sandboxed木馬過程中,它造成的攻擊者的連接和你的系統仍然安全免受感染。即使你忘掉終止sandboxed過程中,它就會自動刪除,一旦你重新啟動計算機。
問題是,你怎麼能夠確定是否有可疑文件是一個威脅或沒有?如果您不知道如何,我會教你如何使用sandboxie檢查,如果sandboxed文件是一個流氓軟件。
我會做測試與optix親特洛伊木馬程序。是一個可配置遠端存取工具或木馬程式,使攻擊者擅自進入被感染的計算機,類似subseven或bo2k 。它不再是在發展,並檢測所有的反病毒程序。
我碰到optix親木馬與sandboxie用我的鼠標右擊該文件並選擇 "運行sandboxed " 。
對sandboxie程序的界面,我可以看到msiexec16.exe被裝在這個過程中的名字。
你有沒有通知任何可疑這裡嗎?原來的可執行文件是virus.exe現在又變成msiexec16.exe 。如果這一進程名稱的更改,這是可疑。
接下來,讓我們看看內容啤酒館。就在菜單欄中,單擊功能->內容的啤酒館- >探討的內容。
我看到一個文件夾中的"驅動器" ,還二日檔案, reghive和reghive.log 。
從"驅動"文件夾中,我發現這種木馬改名本身msiexec16.exe並抄送到c : 窗戶 system32 。
對於reghive檔案你看,它是什麼,是安裝在登記處作為一個子密鑰。看到reghive文件,你必須負荷,它在你的windows註冊表編輯器。"你們面前裝入reghive到註冊表,你必須終止當前的啤酒館第一,否則你會得到錯誤消息" 不能負荷reghive :進程不能存取文件,因為它是用另一種程序" 。以終止目前的啤酒館,點擊功能菜單欄,選擇終止sandboxed過程 ->在當前的啤酒館。
終止後,目前沙盒,你可以裝入reghive在註冊表編輯器中去,以開始-> "運行類型註冊表。選擇hkey_users ,到檔案->負荷蜂房和瀏覽為r eghive檔案。
我用sandboxie方便市民辨認。當reghive是裝貨,一個新的關鍵" sandboxie "就會出現。
我查了登記處,發現這裡還有一個進入msiexec16.exe在一間窗戶autorun位置。含義每當windows是啟動了,它會自動運行msiexec16.exe 。
大家可以看到,有這麼多的原因,使這個文件看起來像一個惡意軟件。你可以上傳到 VirusTotal掃描32個殺毒。如果不查出任何病毒,你可以提交給反病毒公司,他們要檢查。這裡是一個名單上的網站,你可以提交一份可疑文件:
1. 1 。 Nicta Software Anti-Virus Technologies據路透社軟件防病毒技術
2. 2 。 Norman Sandbox Information諾曼啤酒館信息
3. 3 。 Computer Associates (CA)計算機協會(鈣)
4. 4 。 ClamAV clamav
5. 5 。 Trend Micro趨勢科技
6. 6 。 Sophos sophos的
7. 7 。 VigorPro vigorpro
8. 8 。 Authentium Thread Matrix authentium螺紋矩陣
9. 9 。 Hauri hauri
10. 10 。 Alladin阿利亞丁
11. 11 。 F-Secure f - secure公司
12. 12 。 Symantec賽門鐵克
13. 13 。 Kaspersky (Email to newvirus@kaspersky.com)卡巴斯基(電郵給newvirus@kaspersky.com )
有undetectable私人版本木馬正在出售的木馬作家,你根本不知道你正在被感染,並進行監測。如此使用sandboxie每當你可以當你想運行任何郵件中的附件檔案,從互聯網上下載或什至從一個文件收到很多來自朋友。
1.經過測試及使用.還是覺得此套軟體的應用性不夠廣泛.不是很好使用的感覺~