公布练习样本的有关信息 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛公布练习样本的有关信息

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[原创] 公布练习样本的有关信息

本主题由大版主 baohe 于 2008-7-13 9:03:34 执行主题置顶/取消操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-10 18:38 \| 只看楼主短消息资料字号：小中大 1楼公布练习样本的有关信息这个帖子的标题咋这么别扭！想不出合适的了。就它吧。之所以不敢称为“练习答案”，是因为每个参与者中毒和杀毒过程的具体情形变化多端。因此，没有可以称为“标准答案”的DD。言归正传。之所以提供这个毒作为实习生练手的样本，在于它有可能反应出一般入门者常见的毛病--------中毒后缺乏冷静思考。恨不得三下五除二，嘁哩喀喳，将病毒灭绝。这个毒有个特点：连网状态下，病毒样本完全运行后，如果你不首先断开网络，就急急忙忙地动手结束病毒进程（且不能一次干净利索地结束病毒以及被病毒插入的应用程序进程），病毒会报复你-----进一步增加进入系统的病毒文件。胡乱结束进程操作步骤越多，进入系统的病毒文件越多。附件是RAR包，内有14幅图片，是中此毒后手工杀毒操作的全部过程。其中有正确的操作步骤，也有成心模拟“未断网就徒劳地结束病毒进程4次操作带来的尴尬局面”。图中有简要文字介绍。相信大家能够理解。用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn) 附件: 文件名:fig.rar 下载次数:283 文件类型:application/x-rar-compressed 文件大小: 上传时间:2008-7-10 20:22:56 描述:rar 本帖被评分 1 次本帖被评分 1 次 baohe 最后编辑于 2008-07-10 20:23:12
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-07-10 18:55 \| 短消息资料字号：小中大 2楼回复：公布练习样本的有关信息带回去今晚看。百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2008-07-10 19:58 \| 短消息资料字号：小中大 3楼回复: 公布练习样本的有关信息那我就不客气了，呵呵收走…… 打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-07-10 20:32 \| 短消息资料字号：小中大 4楼回复：公布练习样本的有关信息好久没来了，看看。。
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

没有眼泪自信弱冠狮帖子:453 注册: 2007-02-04 来自:	发表于： 2008-07-10 23:48 \| 短消息资料字号：小中大 5楼回复: 公布练习样本的有关信息学习有几个问题想问下。。 BAOHE版主附件里的第二张图片中，为什么在windows任务管理器中可以看到msnhostin.exe这个进程。。而我这里却看不到，只能在iceword中看到呢。。 123.jpg (249.02 K) 2008-7-10 23:47:52 还有，按照BAOHE版主的做法，组策略里设置如下 2.jpg (82.48 K) 2008-7-10 23:47:52 重启后，如下文件已删除。 3.jpg (65.16 K) 2008-7-10 23:47:52 但是那个turVNHwX.dll始终无法删除，提示文件正在被另一个程序使用。。。。 4.jpg (7.80 K) 2008-7-10 23:47:52 这个。怎么回事呀。。我这么笨，啥时候才能解决掉这个DD
没有眼泪自信弱冠狮帖子:453 注册: 2007-02-04 来自:

没有眼泪自信弱冠狮帖子:453 注册: 2007-02-04 来自:	发表于： 2008-07-11 00:40 \| 短消息资料字号：小中大 6楼回复: 公布练习样本的有关信息 BAOHE版主，现在应该是杀干净了吧。按照您的方法，试了几遍，终于以我的水平没发现其它问题，不知道是否确实把那个DD咔嚓掉了。。。附件中的第二份日志为现在的日志昨天晚上没有断网也没有用到ICEWORD的禁止进线程创建功能。。刚才用到您的方法删掉那几个后来出现的文件，有一个没删掉，第一份日志为这个时候的日志。。。。。请再帮看下还是那句话，像我这么笨啥时候能学好手工杀毒。。。。明天再试下先断网禁止进线程创建，然后再杀毒的方法。。。我的VM里没有任何杀软，那个系统加固用户设置还没有完全理解。。附件: 文件名:SREngLOG.log 下载次数:118 文件类型:application/octet-stream 文件大小: 上传时间:2008-7-11 0:40:00 描述:log 附件: 文件名:SREngLOG456789.log 下载次数:96 文件类型:application/octet-stream 文件大小: 上传时间:2008-7-11 0:40:00 描述:log
没有眼泪自信弱冠狮帖子:453 注册: 2007-02-04 来自:

Frank3160449 自信弱冠狮帖子:429 注册: 2008-05-25 来自:唐山	发表于： 2008-07-11 07:48 \| 短消息资料字号：小中大 7楼回复：公布练习样本的有关信息拿下!!
Frank3160449 自信弱冠狮帖子:429 注册: 2008-05-25 来自:唐山

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-11 08:12 \| 只看楼主短消息资料字号：小中大 8楼回复 5F 没有眼泪的帖子 turVNHwX.dll始终无法删除，应该是它插入了winlogon.exe进程。此dll一旦插入了winlogon，强制卸除都不行（系统崩溃重启）。可以用IceSword强制删除这个病毒文件。然后重启系统，删除其添加的notify键值。至于你的windows任务管理器为何看不到msnhostin.exe进程，从你那张IceSword进程图看，msnhostin.exe已经变为隐藏进程了。 baohe 最后编辑于 2008-07-11 08:23:05
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-11 08:18 \| 只看楼主短消息资料字号：小中大 9楼回复 6F 没有眼泪的帖子第一份日志：病毒启动项还在： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <MSN Host><msnhostin.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{68950839-2675-49E2-B6A5-442E0B0D1BA4}><C:\WINDOWS\system32\tuvVNHwX.dll> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvVNHwX] <WinlogonNotify: tuvVNHwX><tuvVNHwX.dll> [] 浏览器加载项 [] {68950839-2675-49E2-B6A5-442E0B0D1BA4} <C:\WINDOWS\system32\tuvVNHwX.dll, N/A> winlogon.exe进程插入了两个病毒模块： [PID: 636 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\tuvVNHwX.dll] [N/A, ] [C:\WINDOWS\system32\ljJYRKdd.dll] [N/A, ] explorer.exe进程插入了一个病毒模块： [PID: 1728 / yezi][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\tuvVNHwX.dll] [N/A, ] ———————————————————————— 第二份日志：基本干净。请删除下面的浏览器加载项： [] {68950839-2675-49E2-B6A5-442E0B0D1BA4} <, > baohe 最后编辑于 2008-07-11 08:21:51
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-11 08:52 \| 只看楼主短消息资料字号：小中大 10楼回复 6F 没有眼泪的帖子 [引用]那个系统加固用户设置还没有完全理解 [回复] 那图是针对实机运行病毒者讲的。如果你的瑞星“系统加固用户设置”中勾选了“登陆附加模块”项，“触发规则时” 勾选了“拒绝”，瑞星会保护HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify下的所有键值项。你玩儿那个样本时是关闭瑞星监控的，病毒在此键下写入了自己的加载项。手杀前面的所有操作结束、重启系统后，瑞星所有监控处于开启状态。此时，你不按那图提示临时改一下设置，便无法删除病毒在notify下写入的内容。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT