12345678»   3  /  9  页   跳转

一只隐蔽的灰鸽子winlogon.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-10 16:43 | 只看楼主 短消息 资料
字号: 21楼

这只鸽子的要害是那个c:\windows\winlogon.dll。
如果用SSM禁止c:\windows\winlogon.dll加载运行,则这只鸽子的文件全部可见。

附件附件:

下载次数:259
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-10 16:43:59
描述:
预览信息:EXIF信息
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2006-09-10 16:52 | 短消息 资料
字号: 22楼

引用:
【baohe的贴子】
刚才上面的回贴是笔误。应该是“SSM”,而不是“IceSword”。
不过,IceSword确实可以导出服务、进程等日志。
………………


哦.明白..
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-09-10 18:05 | 短消息 资料
字号: 23楼

学习.
可以把样本给我吗?:kxzhmc500@sina.com
gototop
 
无限001
头像
快乐黄口狮
  • 帖子:208
  • 注册: 2006-07-24
  • 来自:
发表于: 2006-09-10 18:15 | 短消息 资料
字号: 24楼

版主很勤快,
想向你讨教如何发现及分析这些病毒的种种迹象,非常感兴趣,
给个方法,我也研究研究!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-10 18:23 | 只看楼主 短消息 资料
字号: 25楼

引用:
【无限001的贴子】版主很勤快,
想向你讨教如何发现及分析这些病毒的种种迹象,非常感兴趣,
给个方法,我也研究研究!
………………

这个,要根据自己系统的实际情况而定。
我的系统(IBM的本本,XPSP2系统),同时加载运行PowerShadow、Tiny、SSM三个安全软件——没有任何问题。
所以,我观察病毒一般是在PowerShadow的Full Shadow模式下运行病毒(保险起见),获得初步信息(用Tiny和SSM监控)。
根据初步信息判断病毒的侵害范围及严重程度后,调整Tiny的防护设置,再次在Single Shadow模式下详细观察、记录。
大致就是这样。
这样做的前提条件是:熟悉Tiny和ssm的设置,并能根据实际问题灵活应用。Tiny和ssm设置的灵活调整需要经验积累。
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-09-10 18:27 | 短消息 资料
字号: 26楼

什么日志都一点反应也没有吗?
gototop
 
无限001
头像
快乐黄口狮
  • 帖子:208
  • 注册: 2006-07-24
  • 来自:
发表于: 2006-09-10 18:38 | 短消息 资料
字号: 27楼

引用:
【baohe的贴子】
这个,要根据自己系统的实际情况而定。
我的系统(IBM的本本,XPSP2系统),同时加载运行PowerShadow、Tiny、SSM三个安全软件——没有任何问题。
所以,我观察病毒一般是在PowerShadow的Full Shadow模式下运行病毒(保险起见),获得初步信息(用Tiny和SSM监控)。
根据初步信息判断病毒的侵害范围及严重程度后,调整Tiny的防护设置,再次在Single Shadow模式下详细观察、记录。
大致就是这样。
这样做的前提条件是:熟悉Tiny和ssm的设置,并能根据实际问题灵活应用。Tiny和ssm设置的灵活调整需要经验积累。
………………



感谢版主提供方法,回贴好快,
想问一下,Tiny和卡巴的防火墙有冲突吗?
不知用过winpatrol没,和ssm相比如何?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-10 18:53 | 只看楼主 短消息 资料
字号: 28楼

引用:
【无限001的贴子】


感谢版主提供方法,回贴好快,
想问一下,Tiny和卡巴的防火墙有冲突吗?
不知用过winpatrol没,和ssm相比如何?
………………

如果会用Tiny,咔吧的墙可以扔掉!
winpatrol我没用过。
我习惯用SSM。
gototop
 
江南山水
头像
初生襁褓狮
  • 帖子:24
  • 注册: 2006-06-12
  • 来自:
发表于: 2006-09-10 19:16 | 短消息 资料
字号: 29楼

引用:
【baohe的贴子】
如果会用Tiny,咔吧的墙可以扔掉!
winpatrol我没用过。
我习惯用SSM。
………………

猫大哥,PowerShadow、Tiny这几个软件在社区有详细介绍吗?
gototop
 
无限001
头像
快乐黄口狮
  • 帖子:208
  • 注册: 2006-07-24
  • 来自:
发表于: 2006-09-10 19:28 | 短消息 资料
字号: 30楼

引用:
【baohe的贴子】
如果会用Tiny,咔吧的墙可以扔掉!
winpatrol我没用过。
我习惯用SSM。
………………



我在用winpatrol,以后尝试一下其他的!
在卡卡论坛待了一段时间,还是比较佩服你的,不错的版主.
技术够硬,责任心强.向你学习!
我得去仔细瞧瞧你介绍的三款软件
原来版主不是用虚拟机研究病毒的?
gototop
 
<<上一主题|下一主题>>
12345678»   3  /  9  页   跳转
页面顶部
Powered by Discuz!NT