瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 利用IFEO重定向技术判病毒“死缓”

12345678»   1  /  10  页   跳转

利用IFEO重定向技术判病毒“死缓”

收藏
本主题由 大版主 networkedition 于 2012-2-24 13:17:54 执行 移动主题 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:24 | 只看楼主 短消息 资料
字号: 1楼

利用IFEO重定向技术判病毒“死缓”



今天拿到了mopery提到的那个“仿威金”样本(http://forum.ikaka.com/topic.asp?board=28&artid=8243649)。

瑞星今天早上的病毒库依然查不出此毒。

鉴于此毒主体文件名已知,可以利用WINDOWS本身的‘IFEO重定向’技术判其“死缓”(见下图)。

附件附件:

下载次数:316
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 11:24:48
描述:
预览信息:EXIF信息



最后编辑2007-01-12 01:33:08
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:26 | 只看楼主 短消息 资料
字号: 2楼

这里之所以说是“死缓”,是指:这样处理后,病毒可以进入系统。然而,一旦它(包括各分区根目录下的go.exe)企图运行,便被定向到RavMon.exe(瑞星监控,见下图),病毒程序本身不会运行。等到瑞星将其加入病毒库后,此毒即可被杀死。
当然,用户也可自己动手将病毒文件及其启动项删除。

附件附件:

下载次数:308
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 11:26:38
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:27 | 只看楼主 短消息 资料
字号: 3楼

已经实机测试过熊猫烧香的两个变种以及这个“仿威金”(见下图),预防效果满意。对于其它病毒,只要你知道其主体程序文件名(.exe或.dll类),且病毒主体程序不与系统或应用程序同名,也可仿此处理。

附件附件:

下载次数:294
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 11:27:15
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:27 | 只看楼主 短消息 资料
字号: 4楼

既然我们可以这样利用IFEO,病毒作者自然也会想到相应的反制措施————上来先搜索用户建立的相关键值,找到后删除之。
因此,用户要采取适当措施,保护自己的IFEO(见下图)。

附件附件:

下载次数:304
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 11:27:57
描述:
预览信息:EXIF信息
gototop
 
拉风的高手
头像
快乐黄口狮
  • 帖子:229
  • 注册: 2006-10-13
  • 来自:
发表于: 2007-01-04 11:28 | 短消息 资料
字号: 5楼

学习~
gototop
 
鸟儿天上飞
头像
叱咤花甲狮
  • 帖子:2332
  • 注册: 2006-11-30
  • 来自:
发表于: 2007-01-04 11:31 | 短消息 资料
字号: 6楼

呵呵 大叔又来这招  每个病毒知道主体文件名都在注册表那个键值下添加吗?
Tiny这个偶有8会用!!!  看不懂文字呀
我的SSM还是那样...=.=  过期咯
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:35 | 只看楼主 短消息 资料
字号: 7楼

引用:
【鸟儿天上飞的贴子】呵呵 大叔又来这招  每个病毒知道主体文件名都在注册表那个键值下添加吗?

………………

是的。定向到哪个程序,也随你便。
gototop
 
拉风的高手
头像
快乐黄口狮
  • 帖子:229
  • 注册: 2006-10-13
  • 来自:
发表于: 2007-01-04 12:03 | 短消息 资料
字号: 8楼

学习了,又对tiny有了新的发现了~
gototop
 
klxq
头像
自信弱冠狮
  • 帖子:418
  • 注册: 2006-07-25
  • 来自:
发表于: 2007-01-04 12:04 | 短消息 资料
字号: 9楼

TINY的下载地址是....
gototop
 
鸟儿天上飞
头像
叱咤花甲狮
  • 帖子:2332
  • 注册: 2006-11-30
  • 来自:
发表于: 2007-01-04 12:11 | 短消息 资料
字号: 10楼

你们都用tiny  我的运行程序都不出 提示框 让我卸了
gototop
 
<<上一主题|下一主题>>
12345678»   1  /  10  页   跳转
页面顶部
Powered by Discuz!NT