天月来了 - 2008-1-20 19:12:00
| 引用: |
【ofeifeio的贴子】不是NTFS的
……………… |
你去这里找这个工具,暂时才做出来的,还不够稳定,但是能将就了
http://forum.ikaka.com/topic.asp?board=28&artid=8419031
闪电风暴 - 2008-1-20 19:33:00
将就....
baohe - 2008-1-20 19:35:00
| 引用: |
【ofeifeio的贴子】不是NTFS的
……………… |
如果你的系统还能安装WIN PE,可以从网上找个干净的WINPE,安装后,在WIN PE下删除那些病毒文件(毕竟这些病毒文件都是已知的)。
此后,再清理注册表。
大致处理步骤就是这些。
天月来了 - 2008-1-20 19:52:00
那怎么说?
确实将就嘛
闪电风暴 - 2008-1-20 21:10:00
讲究点..
天月来了 - 2008-1-20 21:20:00
不过还是好不错的,
哪天更新得很稳定了,告诉我一下。
没有梦想的男人 - 2008-1-20 21:22:00
清理此变种方法有的是.不同的工具清理起来不一样.不知道作者能屏蔽多少个工具.期待中.哈哈!
wjzdw - 2008-1-20 22:56:00
额
瑞星还没死掉 成功保护了自己~~
东♂方♂旭 - 2008-1-20 23:21:00
猫叔厉害啊 学习中
hotboy - 2008-1-21 0:06:00
俺的神鬼方天戟呢
从此不想中毒 - 2008-1-21 1:58:00
这作者估计不睡觉的研究新方法的,为了他的尊严。
中磁碟机多深都可以安装KV2008,江民的金钟罩确实牛,
也是目前测试唯一在中毒情况下能安装并且使用的,其他的要么不能安装,要么安装后不能使用
当初我是联网情况下,磁碟机还给我下载了不知道多少其他的木马和病毒,多到我已经杀不过来了,干脆直接把C格式化了,专心对付磁碟机.
等过了N久完全弄死磁碟机后,
瑞星2008最新毒库杀到安全~~~~~~换
江民KV2008最新毒库杀到安全~~~~~~换
AVG7.5最新毒库杀到安全~~~~~~换
卡巴最新毒库杀到安全~~~~~~
在上面4个都报安全的情况下,用了1天,但是发现系统还是有问题,
当时转用另外一款比较冷门的开杀,结果还有被感染的exe.
看来这个作者已经把各大厂知名的杀毒软件研究的很仔细。
我想对这作者说一句,您老慢慢研究吧。
给中了的朋友说一句,
在完全绞杀磁碟机的情况下,冷,热门的杀软混用才可以。
从此不想中毒 - 2008-1-21 2:15:00
| 引用: |
【baohe的贴子】
如果你的系统还能安装WIN PE,可以从网上找个干净的WINPE,安装后,在WIN PE下删除那些病毒文件(毕竟这些病毒文件都是已知的)。
此后,再清理注册表。
大致处理步骤就是这些。
……………… |
手动基本清理不完了,
就算手动清理完了,也只是表面的,切身感受。
就我来说,所有盘所有的exe都被感染了,
多用几款杀软来杀,宁可误杀1千,也不放过1个。
我目前用了5款杀软,最后1个在前面4款杀过报安全的基础上还杀出了不少感染的exe.
昨天又扫了一遍,扫出TR/Xorer.E.2
今天又扫了一遍,也出了TR/Xorer.DD.1.B和TR/Xorer.DF.2
国产的全部提示安全,包括卡巴,我晕了。
明天继续扫。
ofeifeio - 2008-1-21 8:44:00
再次感谢天月的热心
另外希望版主看看从此不想中毒的帖子,我们目前的状况基本相同 杀毒软件无法发现被感染的文件
不同的是我不能搜索所有的exe文件Delete掉,并且很多文件还要马上用。。。额。。
天月来了 - 2008-1-21 10:30:00
| 引用: |
【ofeifeio的贴子】再次感谢天月的热心
另外希望版主看看从此不想中毒的帖子,我们目前的状况基本相同 杀毒软件无法发现被感染的文件
不同的是我不能搜索所有的exe文件Delete掉,并且很多文件还要马上用。。。额。。
……………… |
呵呵!!!
如果不是公用电脑,还是得虚心向猫版学学如何防护电脑哦。
否则每次中毒,可能都只能这样
了。
实际上卡卡这里曾经一阵子讨论如何教用户防护电脑,可惜发现没什么人关注这个“防”的重要性,还发现“防”对用户来说比较难学,因为这得懂点系统知识才学得容易。所以这里就再没人谈“防”了。
就只猫猫喜欢折腾病毒时顺带提提这个“防”的概念。
未来的电脑病毒会更强的。
所以用适当的“防”的手段来阻止任何不明程序在电脑里的自动运行才能配合杀毒软件真正的保护自己的电脑。
baohe - 2008-1-21 10:48:00
| 引用: |
【ofeifeio的贴子】再次感谢天月的热心
另外希望版主看看从此不想中毒的帖子,我们目前的状况基本相同 杀毒软件无法发现被感染的文件
不同的是我不能搜索所有的exe文件Delete掉,并且很多文件还要马上用。。。额。。
……………… |
被感染文件的处理问题,只能靠杀软处理。不同的杀软,处理染毒文件的效果有所不同。有些杀软,不能清除其中的病毒代码;另外一些,可以清除被感染文件的病毒代码,但经杀软处理后的被感染文件已不能使用。当然还有一些杀软可以搞掂被感染文件,保证其经杀软处理后还能正常运行。
总之,被感染文件的处理效果,取决于你用什么杀软。
再放一次“马后炮”(已经放过N次了。听劝的人寥寥无几。):对于病毒,防远远重于杀。定期的系统备份、用户数据备份...等工作是不能忽略的。备份最好做在光盘上。这样,相对安全些。
半窍不通5 - 2008-1-21 15:07:00
把太多告诉病毒作者
浪子000 - 2008-1-21 15:35:00
高
xiaoshzi - 2008-1-21 22:24:00
好久没看到这么热烈的讨论了,仔细学习了
shi008 - 2008-1-22 10:43:00
呵呵,最近电脑中毒较多,
N多TXT文件里都有:
115:http://baidu1633.com/admin/xx.exe
115:http://61.191.55.216/admin2/0.exe
115:http://61.191.55.216/admin2/1.exe
115:http://61.191.55.216/admin2/2.exe
115:http://61.191.55.216/admin2/3.exe
115:http://61.191.55.216/admin2/4.exe
115:http://61.191.55.216/admin2/5.exe
115:http://61.191.55.216/admin2/6.exe
115:http://61.191.55.216/admin2/7.exe
115:http://61.191.55.216/admin2/8.exe
115:http://61.191.55.216/admin2/9.exe
115:http://61.191.55.216/admin2/91.exe
115:http://61.191.55.216/admin2/92.exe
115:http://61.191.55.216/admin2/93.exe
115:http://61.191.55.216/admin2/94.exe
115:http://61.191.55.216/admin2/95.exe
115:http://61.191.55.216/admin2/96.exe
115:http://61.191.55.216/admin2/97.exe
115:http://61.191.55.216/admin2/98.exe
115:http://61.191.55.216/admin2/99.exe
等等
shi008 - 2008-1-22 10:46:00
还有些1~10.TXT文件里都只有115三个数字,
江民小青蛙 - 2008-1-22 15:10:00
| 引用: |
【轩辕小聪的贴子】就驱动的使用,给病毒作者一些忠告:
1. 使用CreateServiceA来创建驱动服务,你以为安全软件都是盲的么?要拦截你的驱动加载是很容易的事。你至少采用个有创意点的吧。
2. 对注册表做了N多操作之后再加载驱动,还原SSDT?那你在之前的注册表操作中很容易就被拦截了。
单单这前两项,你的驱动就很可能完全没有发挥作用的机会。
3. 你在R3情况下通过加载ntoskrnl.exe,搜索其重定位表,定位ntoskrnl.exe中填充KeServiceDescriptorTable的指令,以找到SSDT表在ntoskrnl.exe中的偏移。
我敢肯定你这个是抄的。这样虽然可行,但是需要时间和RP。
实际上驱动很容易就直接得到SSDT表在内核中的位置,配合ntoskrnl.exe在内核空间的基址,就直接得到其相对偏移,而这个偏移在文件中是不变的。只要在驱动响应IRP_MJ_DEVICE_CONTROL的例程中加上一段,让R3程序与之通信,从驱动返回SSDT表的偏移,就完全不用遍历重定位表那么庞大的工作量了。
这样你甚至都不用用LoadLibraryExA把ntoskrnl.exe加载(这又是一个容易被人发现的地方,比如卡巴就HOOK住了这个API),直接CreateFileA读文件都行了,因为ntoskrnl.exe的内存映像和文件区段其实是完全对齐的,你连内存偏移到文件偏移的换算都可以不需要。
至于你抄袭的对象,为什么要用重定位表的方法,我想很可能人家是为了不用驱动在R3就对SSDT表进行还原,所以要采取这样麻烦的手法(这个你不用想学了,这样一来SSM恐怕马上报你读取物理内存),你既然还是要用驱动,却要学得四不像,那是你自己的问题了。
4.你的驱动写得很烂。不,是抄得很烂,肯定是把人家一个实验性的“习作”抄过来了。
代码太简单了,必要的判断都没有,对传入的函数地址,连一个MmIsValidAddress都不做,对驱动的稳定性也太不负责任了吧?
这相当于造成一个新的漏洞,只要了解你的驱动接口,就可以往SSDT表任意位置写入任意地址,既可以用作SSDT HOOK,也可能分分钟导致严重的系统问题。
更何况你偷吃还不擦嘴,你创建的设备名,到底是"\Device\SSDTCL",还是"\Device\NetApi00"?
既然是后者,为什么还留着前者的RtlInitUnicodeString操作?
我看这完全是抄来的结果,敢情人家本来创建的是"\Device\SSDTCL",你把它改成"\Device\NetApi00",但是却忘了删去人家本来的RtlInitUnicodeString操作,从而造成了连续两次RtlInitUnicodeString。
搞出这么滑稽的事情,你这个“拿来主义”,也拿得太失败了一点吧?!
……………… |
顶!!!!!!!!!!!
q3watcher - 2008-1-22 17:01:00
杀毒软件先入为主,自然拦截是可以拦截别人的操作,但大多数用户没有也不会使用HIPS和沙盘这样的东西,部分杀毒软件为了降低误报率,默认没有开启所有主动防御功能.而病毒一但进入,完全有能力干掉杀毒软件,造成用户无法使用和升级,这样他的目的就已经达到了,没必要去ANTI SSM一类的东西.说斗狠还不至于,病毒的作者也就是一个人,肯定是有什么抄什么,不可能估计什么和谐,但至少现在他的感染模式还是LOADER的模式,要是直接替换文件哪就谁也恢复不了了.
shi008 - 2008-1-22 23:44:00
呵呵,今天的某台电脑的瑞星就给病毒干掉了。
xiaoxiongjoy - 2008-2-28 15:40:00
气死他
© 2000 - 2026 Rising Corp. Ltd.