[教學] ComboFix 的 CFScript.txt 操作手冊

看板AntiVirus (防毒)作者blman (我愛亦潔我愛亦潔)時間18年前 (2007/11/15 21:49)推噓4(4推 0噓 2→)

留言6則, 5人參與討論串1/1

前言這篇文章是在「解毒學習手冊」完成前寫的，今天才發現沒有放在板上。可能會與目前新版有點出入，但我想應該不會差太多。課前學習知道為什麼要用 ComboFix ，及 CFScript.txt 要怎麼用。 CFScript.txt 操作 ================= === killall:: === ================= 目的：砍殺系統的程序。範例：(只需 tags 不需內容) killall:: 方法：nircmd killprocess 說明：當檔案或程序被其它程式鎖定時，正常的砍殺是沒有用的。必須先將原鎖定程序終止後才可進行。不砍殺以下程序，其它程序全部砍殺。 explorer.exe smss.exe csrss.exe winlogon.exe services.exe lsass.exe svchost.exe dmadmin.exe cmd.exe 如果是 Windows NT 6.0 的版本則將下列程序加入不砍殺程序。 wininit.exe lsm.exe dwm.exe ================== === SnapShot:: === ================== 目的：刪除 Snapshot 的紀錄。範例：(只需 tags 不需內容) SnapShot:: 方法：swreg delete 說明：預設 ComboFix 會與前一次執行紀錄比對，若不想比對則加入此 Tag。 =================== === SnapShotB:: === =================== 目的：備份 Snapshot 紀錄。範例：(只需 tags 不需內容) SnapShotB:: 方法：swreg delete 說明：ComboFix 有一個 Snapshot 的功能，以追蹤目錄/檔案大小或屬性的變化，如： > - 2007-10-26 01:51:17 136,192 ----a-w C:\WINDOWS\catchme.exe > + 2007-10-29 10:56:19 136,192 ----a-w C:\WINDOWS\catchme.exe > - 2004-08-04 12:00:00 120,320 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll > + 2007-07-30 11:19:28 203,096 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll > - 2004-08-04 12:00:00 120,320 ----a-w C:\WINDOWS\system32\wuweb.dll > + 2007-07-30 11:19:28 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 表示上一次執行 ComboFix 與此次 ComboFix 中，有三個檔案發生的屬性或大小的變化。預設 ComboFix 會有前一次紀錄的 Snapshot，若想要將紀錄另外備份則可使用此 Tag。 (備份至 %SystemDrive%\qoobox\snapshot_*) ================= === Collect:: === ================= 目的：壓縮打包檔案或程序，準備供別人進一步分析。範例： Collect:: C:\WINDOWS\logo1_.exe C:\WINDOWS\system32\mhsha1.dat 方法：對於已知的標案系統(NTFS, FAT)則用 catchme -o 額外複製的方式，否則用 zip -S 打包。說明：當不確定是否為惡意的檔案或程式，可以將此打包成 catchme.zip 並交給別人分析。繁體中文環境預設會將產生在 %SystemDrive%\Documents and Settings\ %USERNAME% 目錄下，英文環境則是在使用者的桌面上。 ================= === Rootkit:: === ================= 目的：砍殺 Rootkit。什麼是 Rootkit？就是為了要取得權限的一組惡意程式。範例： Rootkit:: C:\WINDOWS\system32\remoteprt.exe C:\Program Files\Common Files\Microsoft Shared\VGX\svchost.exe 方法：如果檔名是 \.sys.?$ ，則用 catchme -o 來備份。若不是，則用 catchme -k 來砍檔案。說明：如果有發現隱藏程序，使用 Rootkit:: 會比 File:: 砍殺來得有效。猜測是 catchme -k 會將鎖定檔案的程式停止後再砍檔。 ================= === Suspect:: === ================= 目的：會在同一路徑下備份(副檔名加上 .VIR)，然後砍殺。範例： Suspect:: C:\WINDOWS\akbsertts.dll C:\WINDOWS\ressertterb.dll 方法：(1)先複製一份 (catchme -c)； (2)能不能刪檔 (catchme -k)； (3)能不能刪檔 (del /a/f)。說明：如果不確定這程式是否惡意時，可以使用。若發生正常程序出問題，如 xxx.dll 檔找不到，則可以將備份的 .VIR 檔複製回來。 ============= === File: === ============= 目的：砍殺檔案。範例：(檔名不支援萬用字元，如 *,?) File:: C:\WINDOWS\system32\drivers\acpidisk.sys C:\WINDOWS\system32\mprmsgse.axz 方法：有些系統目錄下的檔案常被程序鎖定，則使用 moveex 來備份與移除；否則使用 attrib + move 的方式。 ================ === Folder:: === ================ 目的：砍殺目錄及其底下的檔案。範例：(檔名不支援萬用字元，如 *,?) Folder:: C:\Program Files\cpok 方法：檔案的部分交給 d-delA.dat，目錄給 d-delB.dat 用 rd /s/q，若目錄不能砍再交由其它方式處理。 ==================== === System.Ini:: === ==================== 目的：專門處理 %SystemRoot%\System.ini。範例： System.Ini:: inject 方法：nircmd inidelsec 說明：移除 %SystemRoot%\System.ini 內的某個 section。上述範例則處理底下 system.ini 的 inject section。如： [drivers] wave=mmdrv.dll timer=timer.drv [inject] trojan=trojan.dll rootkit=kit.drv ================ === Netsvc:: === ================ 目的：處理 svnhost 服務啟動的惡意程序。範例： Netsvc:: badserv 方法：使用修改 Registry 的方式 (swreg add)。 ============= === ADS:: === ============= 目的：處理使用 NTFS 文件流技術隱藏的檔案或程序。範例：(只能接檔案，不支援整個目錄) ADS:: C:\WINDOWS\System32\conime.exe 方法：使用 www.flexhex.com 的 sf.exe 程式處理。其它： 1. 該Rootkit使用了ADS 即NTFS文件流技術對文件進行隱藏, 使很多反Rootkit工具失效 2. 該Rootkit同時使用FileSystem Filter技術同ADS技術結合, 互相保護, 導致即使具有ADS檢測功能的反Rootkit工具比如Gmer,Rootkit Revealer,Lads,Winhex 也無效結果範例： ADS D:\WINDOWS\system32:lzx32.sys <-- ROOTKIT !!! ================ === Driver:: === ================ 目的：處理使用 NTFS 文件流技術隱藏的檔案或程序。範例： Driver:: 2hdmcd.dll 方法：嘗試砍檔與移除 Registry。 ================== === Registry:: === ================== 目的：刪除 Registry。範例： Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp......] "{ACADABAF-1000-0010-8000-10AA006D2EA4}"=- [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D500885E-...}] 方法：reg.exe 或 regedit.exe 匯入 registry 設定的方式。 ================== === FileLook:: === ================== 目的：進一步分析檔案資訊。範例： FileLook:: C:\WINDOWS\System32\suspect.tmp 方法：使用 FProps.vbs 的程序來看檔案資訊。 ================= === DirLook:: === ================= 目的：瀏覽目錄。範例： DirLook:: C:\WINDOWS\Help 方法：使用 VFind 程式來瀏覽目錄。 ============ === 其它 === ============ 上傳供 ComboFix 作者分析只要在 CFScript.txt 中加入底下的其中一個 Tags 即可。注意最後面的 "[" 符號。目前兩個功能是一樣的。 suspect::[ collect::[ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 125.225.188.136