闪电风暴 - 2006-11-14 12:35:00
接我的帖子:
http://forum.ikaka.com/topic.asp?board=28&artid=8209333
今天开机,IS仍然无法加载正确驱动,无奈之下将新版SSM597关闭,结果IS果然正确加载!见图1:
附件:
42247120061114122636.jpg
闪电风暴 - 2006-11-14 12:38:00
另外发现,那个错误的驱动与正确的驱动ispub120.sys是同一个文件。只不过换了名字而已
附件:
42247120061114122940.jpg
闪电风暴 - 2006-11-14 12:39:00
但是,如果在SSM的规则中删除Isdrv120.sys的规则,IS可正常加载!
影子110 - 2006-11-15 14:55:00
Icesword在加载过驱动后会自动删除自已的驱动,现在不知是看不到了~,还是因为我设置的问题~
另,在SSM中也已经看不到禁止加载驱动的选项了~~运行ICesword一次后,好像就不需要再加载这个驱动了~?
闪电风暴 - 2006-11-16 12:37:00
只要加载成功一次,SSM便在重启之前再也无法控制isdrv120.sys,即使你阻止了它,它也可以加载
闪电风暴 - 2006-11-16 12:42:00
好像阻止驱动只有正式版才提供
baohe - 2006-11-16 14:40:00
| 引用: |
【闪电风暴的贴子】接我的帖子:
http://forum.ikaka.com/topic.asp?board=28&artid=8209333
今天开机,IS仍然无法加载正确驱动,无奈之下将新版SSM597关闭,结果IS果然正确加载!见图1:
……………… |
中了FuckJacks且未删除病毒文件之前,用SSM看IceSword的两个.sys的MD5,确实看不出差异(其实,只有那个IsDrv120.sys是IceSword自己的)。
附件:
15584720061116143137.jpg
baohe - 2006-11-16 14:42:00
但是,如果你允许那个假的.sys加载,IceSword确实可以启动,但这个“IceSword”有明显的恶意行为。
附件:
15584720061116143325.jpg
baohe - 2006-11-16 14:47:00
此外,我在运行FuckJacks之前,将SSM文件夹中的所有文件用Tiny保护起来。
运行FuckJacks后,SSM的用户界面不会断开(如果没有Tiny的这项保护,SSM虽然处于运行状态,但其用户界面已经被FuckJacks断开)。
带毒运行IceSword并允许那个假冒的.sys加载后,IceSword的窗口是可以保留了;但是SSM的用户界面即刻被断开。当你试图再次开启SSM用户界面时——开启后立即被关闭。
只有结束这个带假冒.sys的IceSword进程后,SSM的用户界面才能开启。
AngelPray - 2006-11-16 14:49:00
学习
之乎者也 - 2006-11-16 14:49:00
猫叔总是看的那么清楚
AngelPray - 2006-11-16 14:52:00
| 引用: |
【之乎者也的贴子】猫叔总是看的那么清楚
……………… |
......
闪电风暴 - 2006-11-17 13:30:00
网上查了一下,这个函数好像是用来获得对进程的DEBUG权限的,通过调用它,使用OpenProcess便可以打开更多的进程句柄.
问题是我没有中这个木马,IS加载也报错...
闪电风暴 - 2006-11-17 13:33:00
只要一个文件一被更改,MD5立即就会变.如果想造出两个一样的MD5的文件,基本不可能吧.难道是FuckJucks.exe把MD5计算也垄断了?
(以前听说过IS好像采用过动态驱动名的技术.)
闪电风暴 - 2006-11-17 13:34:00
另外我没有这个木马的样本,求求猫叔给我一个>......kxzhmc500@sina.com
© 2000 - 2026 Rising Corp. Ltd.