運行過HijackThis 這套軟件得到HijackThis記錄檔,但是那個檔案就是不明白其中的意思,這次就應網友要求寫一下解讀HijackThis的方法。各位有什麼好東西認為值得放在這裏,不妨到左方的通訊器留一個言給我啊!首先,要利用HijackThis 掃瞄系統,就要先下載這個程式執行它,並在Main menu(主選單)中按下Do a system scan and save a logfile。記錄檔案在完成掃瞄後就會自動顯示在螢幕上。
記錄檔的首多行就是系統的一些資料、掃瞄工具資料、掃瞄時間等等,應該不難明白。再下方的是Running Processes,它下方記錄著電腦執行中的處理程序。由於有部份的病毒或木馬會顯示於此,仔細分析正在執行的處理程序,可能會發現不該出現的處理程序。要注意在清殺任意可疑程式都要小心,因為這可能會破壞系統正常運作。
在正執行程序下方記載的,是其他系統的資料。包括瀏覽器輔助物件、隨系統載入程式等。這些設定都可能透露了惡意程式和病毒的行蹤。它們每行開首也有一個獨特的編號,編號就代表著不同的資料。以下的資料來自 www.merijn.org 由本人親自翻譯的。(按一下編號閱讀詳細資料)
- R0, R1, R2, R3 - Internet Explorer 首頁/搜尋頁面 URL
- F0, F1 - 自動載入程式
- N1, N2, N3, N4 - Netscape/Mozilla 首頁/搜尋頁面 URL
- O1 - Hosts 檔案重新定向
- O2 - 瀏覽器輔助物件(Browser Helper Object , BHO)
- O3 - Internet Explorer 工具列
- O4 - 由系統登錄自動載入的程式
- O5 - IE 選項圖示(不顯示於控制台)
- O6 - IE 選項(系統管理員限制存取)
- O7 - 由系統管理員限制存取的系統登錄
- O8 - IE右鍵選單的額外選項
- O9 - IE主按鈕工具列的額外按鈕,或在「工具」選單的額外的選項
- O10 - Winsock 劫持
- O11 - 在IE「進階選項」視窗的額外組別或群組
- O12 - IE 插件
- O13 - IE 預設前置詞劫持 (IE Prefix hijack)
- O14 - 重設網絡設定劫持 (Reset Web settings hijack)
- O15 - 在可信任區的無用途網址
- O16 - ActiveX 物件 (已下載的程式檔案)
- O17 - Lop.com 網域劫持者
- O18 - 多餘的協定和協定劫持者
- O19 - 使用者樣式表劫持
沒有留言:
張貼留言