一、序言
我曾于06/10/01的时候发过一篇《釜底抽薪:用autoruns揪出流氓软件的驱动保护》的文章,经过一些网友讨论和反应,得到一些有益的反馈。今天在360的论坛上看到一个网友建议,想一想有必须做一个补充。
二、Windows提供的文件签名验证工具
Windows其实也提供了一个文件签名的工具。开始——运行——sigverif.exe便可。
三、另附360论坛中和一个网友的交流记录:
在出现的对话框中选择“高级”——“查找其它未经过数字签名的文件”,搜索选项填“*.sys”,文件夹填c:\windows\system32\drivers,然后点“确定”,再回主窗口点“开始”便可以查找了。
Windows就会把所有没有签名的驱动文件找出来,在一个列表中显示出来,余下工作就要自己仔细去分析尝试了。
[hellman]看了<<找出流氓软件的驱动保护>>这篇文章后有一些想法,仅供大家交流。其实数字签名技术由来已久,在98下就有,其实看是不是ms系统的驱动只需在运行里键入sigverif命令,通过一些设置就可以识别有签名和无签名的文件了,具体还可以看它的日志文件.不过有个疑问,系统的显卡等驱动不也是在这里吗?它们也同样没有ms的签名,也就只能通过信息来识别,什么intel之类的,如果如你说的伪造怎么办.有什么办法能知道sys文件保护的是那个病毒文件?这样就不会删错文件了.
[nslog]的确,这是一个很困难的,现在流氓软件都会把文件属性改为Intel之类的
我现在的处理办法是:
1、用这个办法可以把范围迅速缩小,只限于几个或者十几个文件,这样容易得多
2、对于一些“著名”的流氓软件驱动,一眼就能看出来(我一直希望建立这样的一个文件列表),但很困难
3、实在不行,只能靠经验。对于一些驱动,比如标明是rtl8039.sys,看起来象是RTL8039的网卡,但是我的机器
根本没有装网卡,或者通过硬件管理器里面看到网卡的驱动文件不是这个,那么它就可疑。或者通过文件的建立时间来判断。但是没有一个100%可用的办法。
驱动保护本来就是一个比较高级和困难的处理办法,上面这些办法只是提供了一些思路和做法,不能做到完全准确。目前没有想到更好或者彻底的方式。
如果你有更好的想法,欢迎和我交流。