查找流氓軟件驅動保護的補充
來源:中國安全信息網 更新時間:2012-04-13
                

一、序言

  我曾于06/10/01的時候發過一篇《釜底抽薪:用autoruns揪出流氓軟件的驅動保護》的文章,經過一些網友討論和反應,得到一些有益的反饋。今天在360的論壇上看到一個網友建議,想一想有必須做一個補充。

  二、Windows提供的文件簽名驗證工具

  Windows其實也提供了一個文件簽名的工具。開始——運行——sigverif.exe便可。
     


     在出現的對話框中選擇“高級”——“查找其它未經過數字簽名的文件”,搜索選項填“*.sys”,文件夾填c:\windows\system32\drivers,然后點“確定”,再回主窗口點“開始”便可以查找了。


      Windows就會把所有沒有簽名的驅動文件找出來,在一個列表中顯示出來,余下工作就要自己仔細去分析嘗試了。
        

  三、另附360論壇中和一個網友的交流記錄:

  [hellman]看了<<找出流氓軟件的驅動保護>>這篇文章后有一些想法,僅供大家交流。其實數字簽名技術由來已久,在98下就有,其實看是不是ms系統的驅動只需在運行里鍵入sigverif命令,通過一些設置就可以識別有簽名和無簽名的文件了,具體還可以看它的日志文件.不過有個疑問,系統的顯卡等驅動不也是在這里嗎?它們也同樣沒有ms的簽名,也就只能通過信息來識別,什么intel之類的,如果如你說的偽造怎么辦.有什么辦法能知道sys文件保護的是那個病毒文件?這樣就不會刪錯文件了.
  
  [nslog]的確,這是一個很困難的,現在流氓軟件都會把文件屬性改為Intel之類的

  我現在的處理辦法是:

  1、用這個辦法可以把范圍迅速縮小,只限于幾個或者十幾個文件,這樣容易得多
  2、對于一些“著名”的流氓軟件驅動,一眼就能看出來(我一直希望建立這樣的一個文件列表),但很困難
  3、實在不行,只能靠經驗。對于一些驅動,比如標明是rtl8039.sys,看起來象是RTL8039的網卡,但是我的機器
   根本沒有裝網卡,或者通過硬件管理器里面看到網卡的驅動文件不是這個,那么它就可疑。或者通過文件的建立時間來判斷。但是沒有一個100%可用的辦法。

  驅動保護本來就是一個比較高級和困難的處理辦法,上面這些辦法只是提供了一些思路和做法,不能做到完全準確。目前沒有想到更好或者徹底的方式。
 
  如果你有更好的想法,歡迎和我交流。

 

 

 

 

 



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios