123456   5  /  6  页   跳转

与一个“三无”后门过招

收藏
juvenile27
头像
拙长孩提狮
  • 帖子:99
  • 注册: 2005-09-12
  • 来自:
发表于: 2006-01-14 15:37 | 短消息 资料
字号: 41楼

现在也只能凑合着用GHOST来恢复系统了
象斑竹这样 真是艺高人胆大的说
gototop
 
mmtt
头像
强壮不惑狮
  • 帖子:852
  • 注册: 2005-08-22
  • 来自:
发表于: 2006-01-14 21:14 | 短消息 资料
字号: 42楼

啊,,,,学习一下,,支持支持
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-15 17:19 | 只看楼主 短消息 资料
字号: 43楼

卡巴斯基今天最新病毒库扫byshell067——报Backdoor.Win32.Byshell.a;而扫byshell063——什么也不报!!
汗!!
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2006-01-15 23:40 | 短消息 资料
字号: 44楼

又学一招……
gototop
 
玉面修罗
头像
初生襁褓狮
  • 帖子:403
  • 注册: 2005-09-20
  • 来自:
发表于: 2006-01-16 02:04 | 短消息 资料
字号: 45楼

...这个病毒作者脑袋真灵光
  以前没碰到过这样的病毒
学了不少知识
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-01-16 18:01 | 短消息 资料
字号: 46楼

这个后门,它把自身文件和注册表项都删除了,,那它通过什么文件来在准备关机的时候重新把病毒文件加载上去呢?(它肯定有在哪里备份了)
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-16 19:36 | 只看楼主 短消息 资料
字号: 47楼

引用:
【影子110的贴子】这个后门,它把自身文件和注册表项都删除了,,那它通过什么文件来在准备关机的时候重新把病毒文件加载上去呢?(它肯定有在哪里备份了)
...........................

它活在spoolsv.exe进程中。
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-01-18 18:41 | 短消息 资料
字号: 48楼

那,是否可以把这个它注入的进程结束呢~~?(结束后,这个病毒不就连最后的藏身之处也没有了吗?,还是一般它所注入的都是不容易结束的,或是不能结束的进程~~)
不过,这所有的一切也都要你能先发现它,并且能知道它所注入的进程是哪个,那也许事情会好处理点,是吗?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-18 18:47 | 只看楼主 短消息 资料
字号: 49楼

引用:
【影子110的贴子】那,是否可以把这个它注入的进程结束呢~~?(结束后,这个病毒不就连最后的藏身之处也没有了吗?,还是一般它所注入的都是不容易结束的,或是不能结束的进程~~)
不过,这所有的一切也都要你能先发现它,并且能知道它所注入的进程是哪个,那也许事情会好处理点,是吗?
...........................

是的。如果顺利结束了这个木马插入的进程,它就死翘翘了。
问题是——有多少中招者会及时发现这个木马插入的进程?
Byshell067比这个063还厉害,除了插N个系统关键进程外,还动态插入应用程序进程。
gototop
 
中国注册会计师
头像
叱咤花甲狮
  • 帖子:5080
  • 注册: 2003-12-07
  • 来自:
发表于: 2006-01-18 22:04 | 短消息 资料
字号: 50楼

引用:
【天山雪狐的贴子】没办法,俺们这样的笨人对付比较厉害的马,只有用笨办法:
一拔网线,二关电源,重开机进入DOS或安全模式查杀。
...........................


晕!笑!看来你也很厉害!
gototop
 
<<上一主题|下一主题>>
123456   5  /  6  页   跳转
页面顶部
Powered by Discuz!NT