123   1  /  3  页   跳转

[原创] 将rootkit木马拒之门外的一招

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-05 15:00 | 只看楼主 短消息 资料
字号: 1楼

将rootkit木马拒之门外的一招

最近,夹带msdirectx.sys(一个rootkit)的病毒/木马比较流行。这个msdirectx.sys是病毒/木马的隐身工具。如果能有效的阻止它进入系统,杀毒也就容易得多了。怎么阻止它进入系统呢?<br>看完下面7个附图,你就明白了。<br>图1——在TPF2005的System Privileges中自建一条“高优先权”防护规则:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:00:14
描述:/



附件附件:

文件名:1.rar
下载次数:259
文件类型:application/x-rar-compressed
文件大小:
上传时间:2010-5-24 12:12:44
描述:rar

最后编辑baohe 最后编辑于 2010-05-24 12:12:43
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-05 15:08 | 只看楼主 短消息 资料
字号: 2楼

图2——上述防护规则的实际效果(用网友Script提供的病毒样本mss感染系统)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:08:51
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-05 15:10 | 只看楼主 短消息 资料
字号: 3楼

图3——失去msdirectx.sys保护的病毒文件。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:10:22
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-05 15:11 | 只看楼主 短消息 资料
字号: 4楼

图4——病毒进程在WINDOWS的任务管理器中即可见到(如果有msdirectx.sys保护,这个病毒进程只能在IceSword的进程列表中才能见到)。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:11:43
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-05 15:16 | 只看楼主 短消息 资料
字号: 5楼

图5——被剥得赤条条的病毒文件很容易找到,直接删除即可。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:16:24
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-05 15:20 | 只看楼主 短消息 资料
字号: 6楼

图6——剩下的活儿就是打扫垃圾了。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:20:21
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-05 15:22 | 只看楼主 短消息 资料
字号: 7楼

图7——扫垃圾时别忘了这个“死角”。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:22:24
描述:
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2005-07-05 17:37 | 短消息 资料
字号: 8楼

baohe,我试试呵呵


TPF设置复杂,运行了一段日子觉得不错
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-05 18:07 | 只看楼主 短消息 资料
字号: 9楼

引用:
【艾玛的贴子】baohe,我试试呵呵


TPF设置复杂,运行了一段日子觉得不错



...........................

从另一个角度看,设置复杂,其实是TPF2005的一个优点。你可以根据实际需要,采取灵活的防护策略。比如:那个%windows%保护规则,想用就用;不想用,就去掉它。下次再想它用了,再设一下(不到一分钟就完成了)。
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2005-07-05 19:36 | 短消息 资料
字号: 10楼

不错
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT