123   1  /  3  页   跳转

[原创] 将rootkit木马拒之门外的一招

将rootkit木马拒之门外的一招

最近,夹带msdirectx.sys(一个rootkit)的病毒/木马比较流行。这个msdirectx.sys是病毒/木马的隐身工具。如果能有效的阻止它进入系统,杀毒也就容易得多了。怎么阻止它进入系统呢?<br>看完下面7个附图,你就明白了。<br>图1——在TPF2005的System Privileges中自建一条“高优先权”防护规则:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:00:14
描述:/



附件附件:

文件名:1.rar
下载次数:260
文件类型:application/x-rar-compressed
文件大小:
上传时间:2010-5-24 12:12:44
描述:rar

最后编辑baohe 最后编辑于 2010-05-24 12:12:43
分享到:
gototop
 

图2——上述防护规则的实际效果(用网友Script提供的病毒样本mss感染系统)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:08:51
描述:



gototop
 

图3——失去msdirectx.sys保护的病毒文件。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:10:22
描述:



gototop
 

图4——病毒进程在WINDOWS的任务管理器中即可见到(如果有msdirectx.sys保护,这个病毒进程只能在IceSword的进程列表中才能见到)。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:11:43
描述:



gototop
 

图5——被剥得赤条条的病毒文件很容易找到,直接删除即可。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:16:24
描述:



gototop
 

图6——剩下的活儿就是打扫垃圾了。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:20:21
描述:



gototop
 

图7——扫垃圾时别忘了这个“死角”。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-5 15:22:24
描述:



gototop
 

baohe,我试试呵呵


TPF设置复杂,运行了一段日子觉得不错


gototop
 

引用:
【艾玛的贴子】baohe,我试试呵呵


TPF设置复杂,运行了一段日子觉得不错



...........................

从另一个角度看,设置复杂,其实是TPF2005的一个优点。你可以根据实际需要,采取灵活的防护策略。比如:那个%windows%保护规则,想用就用;不想用,就去掉它。下次再想它用了,再设一下(不到一分钟就完成了)。
gototop
 

不错
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT