SCNPASCAN恶意程式侦查工具使用说明.PDF

NPASCSCAN 惡意程式偵查工具使用說明惡意程式偵查工具使用說明 警政署 npascan@npa.gov.tw NPASCANNPASCAN特色特色 由警政由警政署自行署自行研發研發 ，採用行為比對採用行為比對 ，無須病毒特徵碼無須病毒特徵碼 之惡意程式偵查工具。 本工具本工具並非防毒軟體並非防毒軟體 ，防毒軟體系於檔案尚未執行時防毒軟體系於檔案尚未執行時 ， 發現病毒特徵而加以阻攔，NPASCAN運作於可能已 感染惡意程式之電腦感染惡意程式之電腦 ，，掃描系統所有啟動項目掃描系統所有啟動項目 ，，辨識辨識 檔案是否為可疑程式，並提供移除之功能。 因採行為比對因採行為比對 ，，可偵測出防毒軟體偵測不到可偵測出防毒軟體偵測不到 ，，但行為但行為 異常之可疑程式，為一種通用型可疑程式偵查工具， 亦可作為現場惡意程式鑑識工具亦可作為現場惡意程式鑑識工具 。 目前版本為1.5版，請持續注意警政署全球資訊網必威体育精装版 消息消息 ，查看是否有更新版本查看是否有更新版本 。 NPASCANNPASCAN問與答問與答 Q：NPASCAN需要一直常駐於系統嗎？ AA ：NPASCANNPASCAN不需常駐於系統不需常駐於系統 ，偶爾執行掃描偶爾執行掃描 ，即可檢測電腦即可檢測電腦 目前是否有可疑檔案在執行，這一點與防毒軟體有很大差異。 QQ ：：NPASCANNPASCAN找出來的檔案找出來的檔案一定有問題嗎定有問題嗎 ？？ A：本程式採行為分析，不排除有誤判的情況，例如:你發現高速 公路上有車搖搖晃晃，會認為駕駛喝醉了，但也有可能他開車本 來就是搖搖晃晃的來就是搖搖晃晃的 ，這是行為分析最大的問題這是行為分析最大的問題 ，我們也一直蒐集我們也一直蒐集 各位的使用經驗持續在調校。 A：本程式可以確保不會誤刪系統檔案。 Q：NPASCAN使用時機？ A：當你覺得電腦怪怪、或任何時候皆可拿到該台電腦上檢測。 QQ ：NPASCANNPASCAN掃出的檔案我都要按掃出的檔案我都要按是是刪除嗎刪除嗎 ？？ A：基本上都可以刪除，除非你確定檔案是系統檔或絕對沒問題 之檔案之檔案 ，這個部份就有可能是這個部份就有可能是問題二問題二所描述的誤判情況所描述的誤判情況 ，此時請此時請 把log與檔案壓縮後寄至npascan@npa.gov.tw，以利本署修正 與判讀。 NPASCANNPASCAN使用方式使用方式 使用使用NPASCANNPASCAN非常簡單非常簡單 ，只需執行只需執行NPASCANNPASCAN.exe後後 等待10~20秒，掃描結果即以視窗彈出、亦會保留log 。 如發現可疑檔案如發現可疑檔案 ，按按 『『是是』後後 ，下次重開機後即可清下次重開機後即可清 除。 NPASCANNPASCAN掃描後會於該目錄下產生掃描後會於該目錄下產生NPASCANNPASCAN_電腦電腦 名稱.txt之log檔案，可以協助使用者確認，如有疑問 亦可將亦可將LogLog檔與檔案壓縮加密檔與檔案壓縮加密後寄至後寄至 npascan@npa.gov.tw提供本署分析。 每次刪除檔案後會保留每次刪除檔案後會保留一份原始檔案於份原始檔案於SbSbakk目錄目錄，如如 需還原請至該目錄執行Recovery.bat檔案進行還原。 NPASCAN檢測實況 偵測出9隻病毒偵測出9隻病毒 有關有關NPASCANNPASCAN程式民眾可程式民眾可於警政署全球資訊網下載於警政署全球資訊網下載 。。 如有任何問題可e-mail至npascan@npa.gov.tw Thank You