次の方法で共有


Construindo um CD para Verificação Offline de Malware

A Microsoft lançou ontem o Malware Removal Starter Kit, um guia com recomendações e ferramentas para ajudar a combater ataques de malware e restaurar sistemas infectados, feito para profissionais de TI. Ele aponta recursos para ajudar a preparar o seu plano de resposta a incidentes, identificar se o seu sistema pode estar com malware, e fazer a detecção e remoção.

Para mim o ponto mais interessante do guia é que ele ensina como fazer a criação de um CD bootável para fazer a verificação offline do sistema. A verificação offline é em princípio sempre mais eficiente do que uma verificação online, pelo fato do malware não estar em execução e assim não poder usar as mais diversas técnicas para se esconder. O guia ensina como preparar um CD bootável utilizando o WinPE e rodar a sua ferramenta de verificação favorita.

Aqui abaixo segue um resumo do que você precisa fazer (instruções completas aqui):

1. Instale o Windows Automated Installar Kit (AIK)

O AIK inclui o WinPE e os arquivos para construção do CD bootável, e está disponível para download no site da Microsoft. O download é na verdade uma imagem ISO de um DVD, e você vai precisar gravar a imagem em um DVD antes de fazer a instalaçao.

2. Obtenha as Ferramentas de Verificação

Pode ser utilizado qualquer ferramenta que roda a partir do WinPE. Foram testadas o avast! Virus Cleaner, o Mcafee AVERT Stinger, o MSRT da Microsoft e o Spybot Search & Destroy, mas outras também podem ser utilizadas.

3. Crie o CD de Verificação de Malware

Siga as instruções abaixo:

1.

 Entre no computador como administrador, clique Start, clique All Programs, clique Microsoft Windows AIK, e então clique Windows PE Tools Command Prompt.

 

2.

 No prompt de comandos, digite o seguinte comando para criar uma cópia da imagem x86 do WinPE e criar uma pasta de trabalho no seu computador: copype x86 c:\WinPE

 

3.

 Entre na pasta c:\WinPE e digite o seguinte comando para montar uma imagem WinPE.wim: imagex /mountrw winpe.wim 1 c:\WinPE\Mount

 

4.

 Digite o seguinte comando para carregar e acessar a registry do WinPE: reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

 

5.

 Digite o seguinte comando para criar um disco de RAM de 96MB: reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

 

6.

 Digite o seguinte comando para sair da registry do WinPE: reg unload HKLM\_WinPE_SYSTEM

 

7.

 Crie uma pasta para as ferramentas de verificação dentro da pasta Mount: mkdir c:\WinPE\mount\Tools

 

8.

 Copie as ferramentas de verificação para a pasta que você criou (Tools).

 

9.

 Digite o comando para preparar a imagem, e digite Yes depois para confirmar: peimg /prep c:\WinPE\Mount

 

10.

 Digite o seguinte comando para fechar a imagem do WinPE: imagex /unmount c:\WinPE\Mount /commit

 

11.

 Copie a nova imagem por cima da imagem anterior, digitando o comando e em seguida Yes para confirmar: copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

 

12.

 Para criar a imagem ISO, digite o seguinte comando: oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

 

13.

 Grave o arquivo ISO c:\WinPE\WinPE_Tools.iso em um CD-ROM.

 

Para testar, use o CD para iniciar um sistema e verifique que as ferramentas de verificação estão rodando corretamente. Você pode utilizar esse CD sempre que suspeitar que um computador está infectado com virus ou trojan. Lembre-se que as assinaturas utilizadas não são atualizadas quando você executa a verificação offline, e você precisa periodicamente atualizar as ferramentas e criar um novo CD.

Comments

  • Anonymous
    January 01, 2003
    A Microsoft lançou nesta terça-feira (10/07) o Malware Removal Starter Kit, um guia destinado a profissionais...

  • Anonymous
    January 01, 2003
    Mais uma vez em minhas idas e vindas pela nossa grande teia da Internet, encontrei um ótimo artigo do

  • Anonymous
    July 22, 2007
    Galera essa dica me SALVOU, depois de tentar tudo que eu sabia e não dar certo certo...Sempre tem uma uma praga nova na rede. By ate as aulas ~Giii~