瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于病毒模块插入系统、应用程序进程的问题

«12345678»   5  /  10  页   跳转

关于病毒模块插入系统、应用程序进程的问题

收藏
土哦哦土@
头像
禁止访问
  • 帖子:1274
  • 注册: 2006-06-02
  • 来自:
09欢乐圣诞
发表于: 2007-04-03 20:42 | 短消息 资料
字号: 41楼

该用户帖子内容已被屏蔽
gototop
 
mailliyang
头像
初生襁褓狮
  • 帖子:54
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-04-03 21:51 | 短消息 资料
字号: 42楼

孤独要写关于SVCHOST的教程,很有必要啊,期待下!
gototop
 
thull
头像
快乐黄口狮
  • 帖子:170
  • 注册: 2006-06-02
  • 来自:
发表于: 2007-04-03 22:06 | 短消息 资料
字号: 43楼

引用:
【baohe的贴子】
引用:
【之乎者也的贴子】猫叔,请教几个问题

正在运行的进程
[PID: 668][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\E5CEBDF.DLL] [Microsoft Corporation, ]

这段日志提示:系统核心进程C:\WINDOWS\system32\csrss.exe被病毒模块插入了。插入此进程的病毒模块是C:\WINDOWS\system32\E5CEBDF.DLL。


这怎么看出来的?是那个问号吗?
另外你解决措施的(1)、(2)有什么区别?(1)就直接强制删除那个病毒进程文件,(2)先删除系统核心进程中的病毒模块,再删除病毒文件,是这样吗?谢谢猫叔了

………………

1、辨认系统进程中病毒模块问题:凭经验。正常系统中C:\WINDOWS\system32\文件夹中没有E5CEBDF.DLL这个文件(这个回答可能让你失望)。
2、用IceSword强制卸除系统进程中的病毒模块,实质是“结束病毒模块的运行状态”(一般来说,正在运行的文件是无法删除的)。
3、不结束病毒模块的运行状态而强制删除病毒模块文件的例子较少(这样做,要辅以特殊措施),据我的经验,也只有IceSword可以实现这种操作(尽管成功率不是100%)。那个Keygen.exe木马的处理就是个例子。强制删除病毒文件后,待硬盘无读写动作时,立即断开系统电源,即可奏效。这算个特例吧。
尽管是特例,但也是实践证明成功的例子,必要时可以考虑这样的方法。总之,手工杀毒讲究的是“灵活”,不必拘泥于什么“成规”。有时,就是要打破成规。
………………



嘿嘿  貌似那个多了个逗号 签名那 好象 菜鸟一个 说错话猫叔别笑话俺啊
gototop
 
thull
头像
快乐黄口狮
  • 帖子:170
  • 注册: 2006-06-02
  • 来自:
发表于: 2007-04-03 22:26 | 短消息 资料
字号: 44楼

这年头  风太大了  马甲太多了  人心不古啊
但我坚信 听猫叔的没错
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-04-03 23:27 | 短消息 资料
字号: 45楼

另外一个是关于随机命名的病毒问题。
对付这样的病毒单靠INFO是没有办法的,但是可以利用组策略中的软件限制策略中的散列规则(如图)来加以阻止(在添加规则之前请确保病毒文件的存在)。
该方法也可用于已被未知威金和熊猫烧香等文件感染型病毒入侵但还不能够检测出来的时候进行被动恢复文件的辅助手段。

附件附件:

下载次数:204
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-3 23:27:08
描述:
gototop
 
hotboy
头像
社区嘉宾
  • 帖子:27670
  • 注册: 2002-02-01
  • 来自:东厂
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念冰激凌十周年
发表于: 2007-04-03 23:42 | 短消息 资料
字号: 46楼

引用:
【baohe的贴子】
我说————兄弟,别郁闷啦!
接着用Tiny吧。

………………

也只能tiny了,看来只有format能解决ca的问题了,不甘心啊
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-04-03 23:51 | 短消息 资料
字号: 47楼

引用:
【hotboy的贴子】
也只能tiny了,看来只有format能解决ca的问题了,不甘心啊
………………



想问一句ca的全称是?
gototop
 
平凡女子
头像
初生襁褓狮
  • 帖子:68
  • 注册: 2005-11-27
  • 来自:
发表于: 2007-04-04 00:35 | 短消息 资料
字号: 48楼

真的是好贴啊~~~楼主怎么不早贴出来啊~~~如果我早点看到,也许就不用把整个硬盘都格了~~~我31号中了毒,折腾了两天,重装了三次,还是杀不净,就像楼主说的,安全模式都进不去,不停的重启,但是又不能养着啊~~一是没养宠物的爱好,再一个我开网店的,又喜欢玩游戏,到时候帐号什么的还不都得让贼给惦记去了~~~最后一狠心,把整个硬盘全格了,连分区都重设了,让你个病毒再嚣张~~~只可怜了我那么多资料~~
gototop
 
平凡女子
头像
初生襁褓狮
  • 帖子:68
  • 注册: 2005-11-27
  • 来自:
发表于: 2007-04-04 00:40 | 短消息 资料
字号: 49楼

引用:
【孤独更可靠的贴子】注入技术中...

服务级的Svchost.exe里其实是一个亮点...

按我说应该隐蔽性比较高,但是却很少有人注意..

即便注意了也不一定能发现..网上的答案无非说是svchost是微软windows操作系统的一个系统程序,用于执行dll文件...

然后理解后,就略过....由于MS设计问题,只能在注册表service项和某些特殊软件(例如冰刃或Sreng)才可以看得到注入的模块..

再观察几天,没人整理的话,本人不才写个小教程..



………………

举双手赞成"孤独更可靠"的提议,快点写个关于"svchost.exe"的教程吧~~~我就是让它给害苦了~~~明知道就是它有问题,可是找遍了网络也没有具体的解决方法~~终于还是把整个硬盘给格了~~~
gototop
 
aikakaka
头像
拙长孩提狮
  • 帖子:147
  • 注册: 2006-02-15
  • 来自:
发表于: 2007-04-04 08:38 | 短消息 资料
字号: 50楼

猫叔的总结浅显易懂阿……赞
gototop
 
<<上一主题|下一主题>>
«12345678»   5  /  10  页   跳转
页面顶部
Powered by Discuz!NT