全面清剿網絡間諜檄文之一--間諜殺手


【明慧網2002年5月14日】目前有一種十分流行的編程技術,該技術叫「Aureate/Radiate's advertising 」。它被許多目前非常流行的程序所使用,通常是運行在後台,類似於寄生在瀏覽器中的寄生蟲,有不少的軟件商在軟件的內部載入了Spyware,這些Spyware私自將用戶的個人資料洩露。這些個人資料都包括甚麼內容,不得而知!

來,讓Lavasoft Ad-aware解除後顧之憂。可掃描已知的多種間諜程序並能安全清除。間諜程序號稱廣告特絡伊,秘密安裝並搜集資料。特洛伊我想大家都十分清楚其危害性,但這種廣告特洛伊就十分狡猾,不能被防病毒軟件所查到!但有時可被防火牆截獲!大家經常看到有一些程序鬼鬼祟祟地要求上網,這就有可能是廣告特洛伊程序要求聯結遠程主機!有的時候你的郵箱有大量的廣告垃圾,原因知道麼,這也是廣告特洛伊惹的禍,把您的信箱地址偷運出境!如果此類程序被不法分子使用,危險性也將大大增強!如果此類程序在連接主機過程中,被截獲,你的個人資料也將……?!諮詢郵件為:support@lavasoftUSA.com.

下面介紹兩款軟件:AD-aware 5.62 Plus和Ad-watch,最好兩者結合使用!

一。AD-aware 5.62 Plus

版本5.0簡單介紹:
1.備份,恢復非常簡單
2.多語言支持
3.可快速掃描,選定的文件夾或盤。
4.可以不檢測某些間諜程序。
5.新用戶界面
6.可掃描移動磁盤
7.Ad-watch升級為2.0版本
軟件名稱:AD-aware 5.62 Plus
軟件類型:共享軟件
使用平台:Win9x/Me/NT/2000   
軟件大小:1184KB   
軟件開發:http://www.lsfileserv.com/

下面是一個小例子:如何設置Ad-aware,創建備份等。
該軟件安裝後將在開始-->程序創建一個快捷方式(桌面也有),運行該軟件,在Ad-aware的主界面將顯示三個不同的菜單(scan now,backups,configuratiom三項):

a.scan now,點擊此項,用設置好的選項進行掃描。

b.backups,創建備份或刪除備份

c.configuration,打開preferences菜單
1.設置掃描選項,當第一次運行該程序時,沒有選項被設置,在左邊的列表中選擇讓Ad-aware掃描的選項。第一次,一般選擇memory-scan(內存), registry scans(註冊表) and the drive(盤,一般只選擇windows安裝的盤)。沒有必要掃描所有的盤,可根據需要推薦選擇。前一次的掃描設置會成為下一次的默認的設置,如果Ad-aware隨windows啟動時,這個設置也將被調用!但有一個例外:就是從explorer(應該是資源管理器)在文件夾或drive點右鍵彈出的菜單運行情況除外。在這種情況下僅僅drive\folder將被搜尋,但下一次啟動的掃描設置將不被覆蓋,也可再次被用。

灰色的圖標表示不被選擇的項,也可用選項前以"對號"選擇。例如:在"My computer"前打對號,表示掃描選項為"My computer",
掃描進程可觀察"summary",可時時看到檢測的間諜程序個數。並且,當掃描結束的時候,會生成一個文件。不理會的項目將在"Componentes ignored"下面被編成表,並被記錄文件中被紀錄,但是不進一步處理。
重要的"New components"被計數,它僅僅顯示出乎意料的components.這些components也不在ignorelist列表中顯示。如果掃描完成,你應該在Ad-aware產生的記錄文件中看詳情,點擊show log.如果spyware被檢測到,建議存盤以後在分析它,請在show log 菜單下選擇save,存盤後,"back"按鈕是返回。單擊「繼續」可得到全部的被檢測到的components一覽表(如果有的話)。

注意:使掃描中止,點擊"Abort"立即回到主界界面。

假如掃描後發現了間諜程序的components,按繼續也有新窗口彈出,顯示檢測到的詳細列表。

每個一覽表裏的項目有三個域:
﹒EType : M = 模塊, K = 註冊表鍵值, V = 註冊表值 和 F =文件夾
﹒ESystem:間諜程序的components所屬的間諜程序
﹒Edetails:路徑名,註冊表鍵值等詳細內容。

為了得到更多的詳細內容可用鼠標點擊列表中的某一個,一會就會出現一個彈出的小窗口顯示詳細內容。選定所選項目,點擊鼠標右鍵,將彈出一個菜單任意選擇有下列功能:
﹒ECheck\Uncheck,選擇所有或全不選擇。
﹒EJump to key-如果RegHance 2.0已安裝或以後按裝後,你能用Jump to key直接跳到註冊表的該項鍵值表中。
﹒Export RegHancebookmarkfile,導出RegHance類型文件
﹒E Show properties,顯示所選文件的屬性。
﹒EMove sel.items to ignorelist,把所選項目發送到ignorelist
﹒EBackup selected items ,把所選的項目備份。
﹒EContinue-繼續清潔系統,所選的全部項目都將被移出。
註﹕該軟件屏幕底部有3個按鈕分別是Backup,Exclude和Continue,根據需要選擇。在這三個按鈕的左側顯示的是xx個間諜項目被發現。
﹒EExclude,把所選項目發送到ignorelist文件中。
﹒EBackup,備份所選的項目,自己指定文件名和路徑,一般建議選擇。
﹒EContinue-繼續清潔系統,所選的全部項目都將被移出。

為了能用RegHance打開選定的註冊表值,必須指定在configuration---->paths給出RegHance安裝文件夾。

你想不理會某些項目,請選定不理會的項目,然後點擊「"exclude"(拒絕的意思) 鈕。這樣選定的項目將從結果列表中移出。

最後選擇你想要清除的項目來,點擊"continue"鍵,Ad-aware軟件將清除所選的項目清除。值得注意的是:所有的項目必須是重新啟動後,才能被清除。

2.從備份重新安裝項目。如果想反安裝已被刪除的項目,在主界面上選擇"backup",單擊後進入就會看到備份文件。選擇備份文件後,單擊"Restore"按鈕,進行恢復。在"Restore"按鈕的右側是"clean"按鈕,是刪除備份文件。執行完,單擊"ok",返回到主界面 ! 也可以通過選定備份文件點擊鼠標右鍵,彈出菜單中選擇"restore this backup"或"delete"!

注意:當開始的時候,Ad-aware將掃描備份文件夾,如果通過主界面的configurtation菜單改變備份路徑,您也必須把備分文件拷貝到新的備份目錄下。

3.編輯「Ignorelist」,有時希望系統保留特別的間諜程序,也不希望Ad-aware把所有的間諜項目進行一編又一編的檢測,就需要對主界面下的你在configuration-->ignorelist下面的ignorelist進行配置。

當你第一次運行Ad-aware,ignorelist列表是空的。如何把不需要理會的項目加進此列表中呢?請看下面幾步:

第1,掃描您的系統。一直到有列表出來。
第2,在列表中選定所有您想不理會的項目,然後點擊"exclude" 按鈕。
第3,回頭看看configuration-->ignorelist的列表,看看是不是有不需要理會的列表了。注意:不要讓在自動模式下運行Ad-aware.

不理的項目將被編入帶評述的記錄文件,在掃描期間裏不進行處理。

如何從列表中清除項目呢?選定(鼠標右鍵(checked(選擇)或unchecked(不選擇),也可用鼠標在此項目前的框內達格對號)後,單擊"remove checked items" 按鈕。

註﹕Ad-aware和Ad-watch共同擁有一個ignorelist(或者是referencefile)。ignorelist將在Ad-aware安裝文件夾內被保存。

4.設置Ad-aware:
安裝之後,有必要定製Ad-aware.在主菜單,單擊"Configuration"鈕。有一般選項(general options)和附加選項(Additional options )。

(1)General Options(一般任意選擇),在"Configuration"--〉options.在這裏你能設一些基本選擇,和指定被使用的語言。按"cancel"不保存設置,保存設置請按"proceed"。ignorelist是唯一例外的,任何變化都將保存在磁盤中。

簡單說明:

a.Mark all references found by default
如果被設置',全部結果一覽表裏的項目都將在後一定要刪除。也就是默認選定了所有的已檢測到的間諜程序。可以用上面提到的手工檢查,或者清除對他們的選定。

b.Scan on Windows startup,如果被設置,Ad-aware將隨windows啟動而啟動。個人看法,建議開機自動運行Ad-aware.

c.Safe mode (always ask confirmation),安全模式(總是問確認),選擇這項後,Ad-aware所作任何行動都將要求確認。高度建議選擇此項。

d.Automatically remove all references found(自動清除所有已發現的參照)。建議不使用,因為有些標準一般用戶是無法判斷的。
這是重要選項,除非你肯定地確定清除任何Ad-aware承認的參照,否則不要使用它。如果被設置,Ad-aware將自動清除任何參照。全部活動都將寫進記錄文件。如果你使用這特點,我們也非常推薦使用'Auto save log file' 。

重要:如果Ad-aware察覺Web3000被安裝,代替Wsock32.dll,Web3000參照將不自動被除掉。

e.Auto save log file
如果你每次都希望Ad-aware自動保存記錄文件,請選擇此項。這樣與掃描結果無關的內容也將被寫進紀錄。

如果Ad-aware沒有檢測參照,記錄文件將掃描後保存或者在清除過程後存盤。你在下邊輸入的路徑名進入,如果該路徑不存在將被創建或者選擇一個可寫的共享文件夾。

f.語言:
Ad-aware在ad-aware\Lang的文件夾中尋找語言模數。他們將在這在改變語言的list.After中被展覽單擊繼使新設定活化。其他的不介紹。

(2)Additional Optionen,

下面的選項主要在Additional Optionen的plus options中。
A:plus options
a.Add "Scan with Ad-aware" to explorer context menu,如果這項被選,在文件夾或drive(如:c;a:)鼠標右擊出現 "Scan with Ad-aware"。
b.Automatically remove files in use after rebooting
重新起機後將自動清除這些文件,沒有必要重新起機後再進行掃描。
c.Hide splashcreen at startup,在啟動時,裝載Ad-aware時,允許關掉Ad-aware的主界面。
d.Play alarm sound if spyware was found,當有間諜程序被發現時將有聲音告警。

B:下面是紀錄文件的紀錄等級,在logfile detaillevel下:
a.Include additional process information,顯示一些有關細節信息,比如甚麼時間創建了甚麼,或者一些優先度的信息。
b.Include additional file information,包括補充性的文件信息。
建議這兩項全部選擇是記錄更清楚。
C: Total spyware components removed,顯示您的系統有多少間諜軟件被清除!單擊橡皮圖標清除所有間諜程序。

(3) configration-->paths該項是一些文件路徑如:logfile(記錄文件),ref.file,reghance,wave-file(告警文件),backups(備份文件)。

5.命令行參數
用命令行參數運行Ad-aware時非常有用的,一般情況下Ad-aware的默認文件名為ad-aware.exe.

支持下列指令:
/auto=自動運行adaware,ad-aware將自動搜尋,除掉任何間諜程序。建議和/log參數一起使用。
/hide=最小化方式,掃描期間Ad-aware不彈出來。自動的方式也使用這個參數。
/log (destination) = 存盤路徑。
如:/log C:\Temp,將把記錄文件保管在C : \Temp文件夾──在文件名中包括掃描的日期和時間。如果沒有指定的文件夾或文件夾無效(原因自己不能創建新的文件夾),此文件保存在ad-aware文件夾(ad-aware安裝文件夾)!
/full=完全掃描方式,如果這參數被使用,Ad-aware將搜尋內存,註冊表和已知安裝的硬盤。

例子:ad-aware.exe /auto /hide /log,Ad-aware將讓最小化,自動方式的,自動儲備記錄文件。
我想這在批處理文件中是和很好的。

重要一點:如果Ad-aware察覺那個Web3000已經被安裝了,並且代替的Wsock32.dll,將不能把Web3000自動清除。(原文:If Ad-aware detects that Web3000 has been installed, and replaced Wsock32.dll,no Web3000 references will be removed automatically.)

6.多語言模式,Ad-aware 5.0支持固定格式的語言模式。
為了增加自己的模數,請跟著這些步:在Ad-aware被安裝的文件夾中,打開"\Lang"文件夾,使「english.ini」拷貝成你想加的語言。(例如:italian模數「italian.ini」,別請改變文件擴展,它肯定一直是。ini)。詳細見幫助。

二。介紹Ad-watch

Ad-watch是包括Ad-aware在內,能時時監測間諜程序。Ad-watch是在後台上運行,監測安裝或修改您的系統的間諜軟件。

當Ad-aware監測或清除您的系統中已知的間諜,使你的系統乾淨的時候,Ad-watch能在您的系統進一步捕捉類似WebHancer的spyware.如果察覺有間諜軟件,Ad-aware將突然彈出,放下特別的模數,著手進行Ad-aware.

你能在優先菜單中改變優先菜單。全部活動都將在輸出窗口上被紀錄。Ad-aware能隨windows自動啟動,並最小化。雙擊托盤-圖標,或者用托盤-菜單來返回紀錄窗口。這例子中(AudioGalaxy安裝期間)Webhancer安裝模數被承認,立即被放下。當Ad-watch運行並且處於活動狀態的時候,安裝Webhancer寄生蟲是不可能。甚至在安裝前就能殺掉間諜程序。如果你更新Ad-aware,Ad-watch將同時被更新。

打開主菜單,單擊"OPTION"或點鼠標右鍵彈出窗內部單擊「OPTION」標記。
菜單項目

1.狀態(Status)這項目用來監視系統臨時文件。Ad-watch佔用CPU資源很小,但是,在某種情況下,你需要對系統臨時文件進行監視和記錄。這樣把Ad-watch設成睡眠方式。2.Auto scroll,切換輸出紀錄文件的方式(打開或關閉)假如你想讀到輸出的內容,建議關掉這個臨時文件的開關。3.Preferences(優先)打開Preferences菜單,開始Ad-aware,Ad-aware將以設定有限方式開始。4.Clear log(清除紀錄)全部清除輸出紀錄,並且復位輸出窗口。5.Export log(導出紀錄)用磁盤保存記錄文件(就是輸出窗正文)。6.About,顯示版本和構造數字
註﹕如果點擊鼠標右鍵,這個菜單是可見的!

2.Setting up Ad-watch,在main menu item下面或者用右鍵點擊Ad-watch托盤圖標可看到preferences菜單!單擊"proceed",設置將被存儲,然後點擊關閉(close )按鈕!"Default Settings"是默認設置,對設置不進行保存!
優先菜單(preferences menu)的描述如下:

1.優先的程度(Priority)(high normal or low)
任意選擇二者(更新頻率,任務優先程度)進行控制!大多數情況建議normal!
a.Auto start Adwatch,此項是隨windows啟動自動調用Ad-watch,並且Ad-watch將最小化!
b.Force unloading
如果被選擇,任何已承認模數都將被強行unloading.如果你不想讓你已知的廣告接近您的系統,你應該選擇這個項目。如果Ad-aware開始已被設置,模數將首先被放下,接著Ad-aware將被啟動。
c.Auto pop up,Ad-watch一般是最小化的,如有告警發生時,強制彈出Ad-watch項目!或者托盤圖標將變為一閃一閃的紅色。雙擊他或者選擇菜單中的"restore"返回到輸出窗!
d.Launch Ad-aware
如果選擇此項,當察覺有間諜程序的時候,Ad-aware將被啟動。Ad-watch將一直等到Ad-aware關畢。
e.Automatic mode(自動方式),當Ad-aware被實行的時候,Ad-watch將開始自動的審視和排除!
f.Remove bad cookies(刪除壞的cookies)如果被選擇,檢測到追蹤cookies將自動被清除掉。
g.Always on top(總是頂端上)
如果被選擇,輸出窗將在其他窗口的頂端。
h.Snap to borders把Ad-watch 窗口拖到桌面邊界講發出「劈啪地響」。(很像Winamp)。
i.Appearance,選擇輸出窗口的版面。

(轉載自【網絡自由聯盟】http://internetfreedom.org)










查詢
至今為止所有文章
選擇時間區間
: