回复 5F jks_风 的帖子
1.是的,目前直接能在任务管理器里面看到进程的病毒不是很多了
2.一般是通过CreateRemoteThread,SetWindowsHookEx,QueueAPC这样的函数将自己的动态库或者代码注入到其他进程。如果是注入的动态库,那么可以通过sreng或者其他工具的“模块检查”发现它们;如果注入的是一段代码,放在那个进程中的一个线程中,一般通过日志什么的是无法检查的。(其实注入动态库也是在对应进程空间中写一段代码,不过写的代码一般是动态库的路径)
3.Hook中文名是“挂钩”,实质上是修改某些系统函数的代码跳转到自己的代码上进行一些处理。键盘钩子是一种,SSDT钩子是另一种,两者没有必然联系。键盘钩子是基于Windows的一种消息机制的钩子,Windows的窗口可以用来接收各种鼠标键盘消息,可以通过挂钩键盘或者鼠标消息来截获他们,有些盗号木马也是这么做的。冰刃中的SSDT看的是SSDT hook是系统服务描述表的挂钩。关于SSDT hook在文章后半部分有所介绍
4.一般情况下还是需要靠杀毒软件来识别病毒的dll文件,目前很多病毒可以感染系统的动态库,最简单的办法就是通过找其他系统的相同版本的对应文件,看其MD5等是否相同来判断系统的动态库是否被感染。如果某个dll注入到了重要的系统进程中,可以使用冰刃等强制删除工具删除这个动态库,然后重启就可以。
5.一般用冰刃或者wsyscheck这类工具就可以,他们有强制删除文件功能。杀毒软件无法删除它们的原因其实并非是技术达不到,而是为了大多数用户系统的稳定。
6.x86处理器提供了4个特权级,分别用0,1,2,3表示。0最高,3最低。windows操作系统中,内核代码在ring0,用户态代码在ring3,为了对系统内核进行保护,一般情况下用户态代码是不能访问内核下的代码的。
7.只要进入了内核,那么杀毒软件自我保护再强大也有可能被干掉,因为是同级别权限,谁都可以杀死谁。这种情况下就需要我文中后半部分介绍的方法解决问题。
8.rootkit技术是可以通过工具检查出来的,比如冰刃,gmer,rootkit unhooker等等。
9.只能找支持这些系统的软件咯。
10.对于感染型病毒,也不一定会修改程序入口点,还是建议使用杀毒软件鉴别这些文件
11.你说的方法也可以。
12.U盘插入电脑前需要进行彻底的查杀,U盘中尽量不要放exe文件,如果必须要放建议将其扩展名修改下,这样可以大大减少被感染的几率。有一些病毒伪装成文件夹图标,可以在你的电脑上利用一些美化软件将文件夹图标改掉,那么再有这样的病毒就可以轻松识别出来了。另外一定不要双击打开U盘。
13.PE也是一种系统。
confickr是通过MS08-067漏洞传播的,一般中毒机器会自动屏蔽一些杀毒软件的升级地址,首先需要将DNS cache服务停止再启动,然后通过sreng找svchost相关服务,并查找有无可疑dll,然后将其删除就可以。另外需要打全补丁。
