瑞星卡卡安全论坛

昨天晚上上班的时候突然想到的，不知有没有用。就是利用卡卡的进程管理察看模块，不知能否看出鸽子的痕迹

附件: 7174192006123062253.JPG

水树问一下,CSRSS.EXE是这样子吗?

附件: 7129602006123073304.JPG

引用:

【303266474的贴子】水树问一下,CSRSS.EXE是这样子吗? ………………

是

是要对系统文件相当的熟么？
没头像的家伙

引用:

【afkp4e7的贴子】是要对系统文件相当的熟么？ 没头像的家伙 ………………

俺的头像……现在这个恶心死了……只要模块里能出现，就应该能找到它，看斑竹怎么说

一头雾水~ 水树发这个帖用意是什么?最近又出现日志扫不到的鸽子了?

【回复“水树雨下”的帖子】


出神入化还没头像老丢人了

就是看鸽子有没有插进程

我上次发现的隐形的那东西
日志里也什么也没有
是相似的手法？

一个sys一个exe互相隐藏
日志扫不到杀掉一个后
日志就能扫到
另一个文件也能找到了

引用:

【afkp4e7的贴子】一个sys一个exe互相隐藏 日志扫不到杀掉一个后 日志就能扫到 另一个文件也能找到了 ………………

要是咱中一个，现在早找到问题了。郁闷，看见这么嚣张的鸽子就是掐不死

[npkycryp / npkycryp][Stopped/Manual Start]
<\??\C:\Program Files\Tencent\QQ\npkycryp.sys><N/A>
这个东西你有没
我的是
[npkcrypt / npkcrypt][Running/Auto Start]
<\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
npkycryp.sys是熬一夜的日志里的他也有npkcrypt

我的是刚下的2006最新版
他的怎么多了一个

npkcrypt.sys
我的是官网下的06正式版

他多了一个 还有中这个的日志 么
我翻 了一下没找到贴日志的

跟这个没关系

会不会是替换了哪个services或svchost的服务
日志里看不出数字签名还正常

难道只有下载了06版的..日志中才有npkycryp.sysy吗?

引用:

【afkp4e7的贴子】[npkycryp / npkycryp][Stopped/Manual Start] <\??\C:\Program Files\Tencent\QQ\npkycryp.sys><N/A> 这个东西你有没 我的是 [npkcrypt / npkcrypt][Running/Auto Start] <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.> npkycryp.sys是熬一夜的日志里的他也有npkcrypt ………………

找不到啊!111111

跟本主题无关他的比别人多一个

说的是这个比别人多一个但和鸽子无关
[npkcrypt / npkcrypt][Running/Auto Start]
<\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[npkycryp / npkycryp][Stopped/Manual Start]
<\??\C:\Program Files\Tencent\QQ\npkycryp.sys><N/A>

这两个反正都是QQ的键盘加密程序，同鸽子无关。谁有样本呢，上传一个研究研究，哈哈

引用:

【afkp4e7的贴子】会不会是替换了哪个services或svchost的服务 日志里看不出数字签名还正常 ………………

有这个可能，扫描结果看不到SVCHOST加载什么DLL模块，可以对比正常的DLL有什么变化。

也不知道这个办法行不行……观望吧

貌似不行的

卡卡那个应该没什么用 比冰刃差远了

什么鸟病毒.根本找不到一点痕迹

引用:

【仙剑VS景天的贴子】什么鸟病毒.根本找不到一点痕迹 ………………

这才是强
作者一定这里有马甲天天这里潜水
看都用什么东西

引用:

【afkp4e7的贴子】 这才是强 作者一定这里有马甲天天这里潜水 看都用什么东西 ………………

常用工具病毒制造者都知道还用马甲来干什么

看有没有针对自己的专杀
好自豪一下