123   3  /  3  页   跳转

[求助] 木马编辑器的问题!!

收藏
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-23 12:45 | 短消息 资料
字号: 21楼

回复: 木马编辑器的问题!!

我没有金山清理,不清楚具体情况。但是我有sreng,sreng运行时会在其目录内创建sreng*文件并运行,退出时再删除这个文件。估计金山清理也是这样在后台创建一个包括kasmain的文件并运行。估计这样做是为了防止病毒结束其进程。这就是你第一个规则会报,第二个规则不报的原因。
gototop
 
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-23 12:49 | 短消息 资料
字号: 22楼

回复: 木马编辑器的问题!!

还有一种可能就是金山清理创建包括kasmain的驱动。这一类程序往往会创建驱动。你把第二个规则扩展名改为sys看看。
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-24 08:58 | 只看楼主 短消息 资料
字号: 23楼

回复: 木马编辑器的问题!!



引用:
原帖由 rstgl 于 2009-1-23 12:49:00 发表
还有一种可能就是金山清理创建包括kasmain的驱动。这一类程序往往会创建驱动。你把第二个规则扩展名改为sys看看。


创建驱动就会拦截的  关与后台创建文件正在求证中............
gototop
 
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-25 09:04 | 短消息 资料
字号: 24楼

回复: 木马编辑器的问题!!

要查证金山清理都干了什么有个很简单的方法。你先运行一下金山清理。再按WIN+F,打开搜索,搜索栏输入KASMAIN,修改日期选当日。搜索一下,看看当日金山清理修改了包含KASMAIN的什么文件?应该不是EXE文件。因为你第一个规则报,第二个规则不报。
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT