123   3  /  3  页   跳转

To:BaoHe斑竹`

收藏
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-09-20 18:47 | 只看楼主 短消息 资料
字号: 21楼

OK,我在检查一遍。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-20 18:49 | 短消息 资料
字号: 22楼

收拾一下残局,就完了。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 18:49:19
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-20 18:53 | 短消息 资料
字号: 23楼

“兵贵神速”。
在IceSword、SSM已经运行的条件下,如果SSM检测到异常,立即动手采取有效措施,终止病毒进程和被插入的其它进程,用IceSword解决问题——不难。ROOTKIT没什么了不起的。
gototop
 
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-09-20 19:08 | 只看楼主 短消息 资料
字号: 24楼

现在除了注册表残余的(上帖图)要清理的话,
IceSword里边一直没。
问题是,照您最后这个帖图,里的操作(二次选中并二次F2后)没反映。
直接没一个记录选中按F2(或快捷单的阻止),第一个记录提示:错误。(见本帖帖图),其他的没反映(F2)。
是不是我太苯了?
可以选择左下角的“清楚列表”吧?

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 19:08:37
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-20 20:10 | 短消息 资料
字号: 25楼

引用:
【心言的贴子】操作期间用冰刃(1.12版)也提示过初始服务失败,确定后才能运行。检查服务该打开的都开了。这是怎么回事呢?

...........................

如果你的IceSword是在运行这个ROOTKIT之后才运行的,那就麻烦了。这个ROOTKIT感染系统后,你运行什么程序,它就插入相应的进程。我那个卡巴斯基被插的图就是个例子(卡巴是染毒后打开的)。

观察病毒感染系统前,应该打开并设置好IceSword、SSM、notepad(用来记录感染过程的主要信息)等工具。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-20 20:16 | 短消息 资料
字号: 26楼

引用:
【心言的贴子】baohe,你好,我在a-v中国样本区提取了win32.rootkit.h样本。
自己操作少,手生,现在问题来了,有空麻烦帮忙解答一下哦.

1.运行样本后,系统没明显异常表现(XPSP2).%system%搜寻sysmon32.exe与msderitx.sys,无果.运行后提示无权限访问,如图1.

2.对应注册表
    HKLM\SYSTEM\CONTROLSET001\下没找到msderictx项.
    HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogon\下没发现"shell=explorer.exe sysmon32.exe"
    却是在其他处发现健值.如图2.

3.IceSword中也没sysmon32进程存在,但是SSM又提示启动后监视过程中都发现有项目改动,如图3.

4.卡巴扫后没毒.

以上这些是在关了杀软,但开着SSM,和Tiny Firewall下进行的,是否以为拦截成功?这些都是怎么回事啊? 注册表内搜寻到的删?  应该做些什么?
...........................


如果你的IceSword没有被这个ROOTKIT插入,用IceSword可以找到sysmon32.exe与msderitx.sys两个文件。
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT