shulun743 - 2011-5-13 14:22:00
微软的 mse 和
Emsisoft Anti-Malware 6.0 Beta的 杀软 在扫描和监控时采取 直接操作硬盘的方式来对抗 rootkit
1、启用 物理磁盘解析,对抗 rootkit
2、文件系统解析(“Rootkit Revealer”方式扫描)
3、
能够通过在系统启动过程中创建的两个系统镜像,分别记录系统核心初始化阶段时驱动载入前和载入后的情况。核心模式下创建的镜像中包括系统服务,能够利用特殊的标记进行识别。通过比较两个镜像,就可以判断系统在启动阶段是否被修改以及何处被修改。根据这些数据,可以检测和清理系统中存在的rootkit。总结:::用物理磁盘和文件系统解析 加上卡巴的
比较两个镜像来 ,这种综合手段来对抗 rootkithttp://bbs.kafan.cn/thread-969728-1-1.htmlhttp://bbs.ikaka.com/showtopic-8925450.aspxhttp://article.pchome.net/content-1327271.html用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.1; SE 2.X MetaSr 1.0)
shulun743 - 2011-5-13 14:39:00
正如我们所知道的,目前主流anti-rootkit检测隐藏文件主要有两种方法,一种是文件系统层的检测(像IceSword自己构造irp包发到文件系统驱动),另一种就是磁盘级别的低级检测,直接对磁盘的数据进行分析,比如SnipeSword、filereg和unhooker.
最近对第二种方法的一部分(及NTFS文件系统的解析)做了一些学习,于是就写点学习的东西与大家分享,其中有很多错误和不足希望大牛们指出。
http://www.ixpub.net/thread-874913-1-1.html
大头23 - 2011-5-13 14:43:00
感谢楼主分享
© 2000 - 2025 Rising Corp. Ltd.