How to on-demand scan?如何掃描活躍的惡意工具組?

惡意工具組就是Rootkit,最早出現在Unix系統上。系統入侵者為了取得系統管理員級的root權限,或者為了清除被系統記錄的入侵痕跡,會重新組譯一些軟體工具 (術語稱為kit),例如 ps、netstat、w、passwd 等等,這些軟體即稱作 Rootkit。其後類似的入侵技術或概念在其他的作業系統上也被發展出來,主要是檔案、進程、系統記錄的隱藏技術,以及網路封包、鍵盤輸入的攔截竊聽技術等,許多木馬程式都使用了這些技術,因此木馬程式也可視為Rootkit的一種。

Active 意指「作用中」,因為 rootkit 需要隱藏本身的檔案、程序 (process)與系統記錄,甚至當系統要讀取或查核原來合法的記錄,作用中的 rootkit 會掩蓋不合法的,將原來合法的紀錄交出去。更進一步的知識:Run! PC Anti-rootkit工具介紹

執行小紅傘的掃描惡意工具組的功能,由主控台左方的導覽列,選擇 Local protection => scanner。在右方預先定義的掃描設定檔中,Rootkit search 就是掃瞄惡意工具組。


AV9-Rootkit scan

(掃描病毒深度僅能指定到磁碟機。若要掃描單一資料夾,或根目錄以內第N層子目錄,請到檔案總管以右鍵選單指定。)

 

How to on-demand scan?偵測到病毒與惡意軟體,如何回應與處置?

從主控台打開組態設定 configuration (螢幕右下角小紅傘圖示、功能表或按F8,都能打開組態設定),左上方「專家模式」前方格打勾,再點選 Scanner=> Scan => Action for concerning files。


AV9-React when detecting

AV9-React when detecting 2

偵測到病毒的反應模式有兩種:互動式模式(interactive) 與自動模式 (automatic)。

在互動模式中,掃毒結果被顯示在對話方塊,這是預設值。當掃描惡意工具組、開機型病毒,與掃描作用中的進程 (process) 時,會出現一個對話方塊,你可以在方塊內選擇怎麼樣處理被感染物件。

對於惡意重大檔案的通知,與處理方法的選擇,決定於你採用的通知模式

 

互動模式通知:聯合模式 (Notification mode: Combined)

AV9-Detection Scanner Combined Mode

當完成掃描,你會收到警告訊息,附有一張已偵測的相關檔案清單。要如何處理被偵測到的惡意重大檔案,小紅傘未提供可選擇的選項。(例如:僅有 rapair all 與 Cancel 兩按鈕)


互動模式通知:聯合模式‧專家級 (Notification mode: Combined ‧expert)

AV9-Detection Scanner Expert Mode

當完成掃描你會收到附有一張被偵測到的相關檔案清單。你可以使用這張以內容為主的清單,選定不同感染檔案的使用的處理方法。你可以對全部的被感染檔案實施這種標準方法,或取消掃描。


互動模式通知:個別通知 (Notification mode: Individual)

AV9- Detection Scanner

掃毒過程中,每個被偵測到的病毒,分別被報告於不同的視窗。在視窗內,你能夠選擇處置惡意重大檔案的方法。

 

Automatic, 自動模式

自動模式下,當病毒或惡意軟體被偵測到,自動以預先選定的方法處理。

假使啟用「顯示警告」功能,每當發現病毒,即出現警告訊息指出:以選定的方法處理感染檔案中。

 

即時防衛 Guard 的回應模式

互動模式

如果一個病毒被偵測,就會出現對話視窗,讓你選擇方法處理被感染物件。這是預設值

自動模式

自動模式下,當病毒或惡意軟體被偵測到,自動以預先選定的方法處理。

假使啟用「顯示警告」功能,每當發現病毒,即出現警告訊息指出:以選定的方法處理感染檔案中。

 

染毒檔案的處理方法

Repair 修復

Move to Quarantine 移到檔案隔離區 *1

Delete 刪除

Rename 改名 *2

Ignore 忽略

Deny access 拒絕接觸

Move to Quarantine 複製到檔案隔離區

Terminate program 終結實行中的程序

 

*1 = 檔案被包裹成特殊型式 (*.qua),移到檔案隔離區。隔離區資料夾內的檔案,若有安全的資料比對,有修復的可能性。

*2 = 修改副檔名為 *.vir。如此就無法直接執行了。可以再回復原檔名或修復

 

有懶人組態嗎?

AV9-React when detecting 3

「什麼互動式、自動回應、聯合、專家聯合、個別通知...,都看不懂,有一勞永逸的方法?」

有,如上圖這般的設定,讓小紅遠不動聲色的搞定一切。

Copy file to quarantine before action 請打勾,Primary action請指定 repair,seconder action 請指定 delete。

這樣設定的意義是:

處置前先將可疑的檔案複製存放在檔案隔離區 (防疫所觀察),以防止系統檔案被誤刪,有去無回。隔離區的可疑檔案,也能作為日後深入研究的樣本。

接著採取主要防衛行動:修復 repair,試圖清除感染檔案內被植入的病毒碼。若無法清除,

接著採取第二防衛行動:刪除 delete 可疑的病毒與惡意檔案,維持系統的乾淨與安全。

 

註:本節原名傻瓜組態,避免誤解,改為懶人組態。傻瓜一詞語出李立群的 Konica 廣告,意指設定與操作非常容易的簡便型相機。

「李立群是誰? Konica 是全球第幾大手機廠?」這個嘛,請去問數位相機時代前誕生的人。

 

arrow
arrow
    全站熱搜

    labors3cweb 發表在 痞客邦 留言(3) 人氣()