1   1  /  1  页   跳转

[原创] Win8系统中的“以毒攻毒”实验

收藏
本主题由 大版主 baohe 于 2012-4-1 20:23:51 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2012-03-18 15:57 | 只看楼主 短消息 资料
字号: 1楼

Win8系统中的“以毒攻毒”实验

在Win8下玩儿ZeroAccess新变种,无辅助工具可用(XueTr等在Win8下不能运行) 。不脱离中毒环境,进入PE,要删除病毒释放的所有文件,貌似不大可能。

由于之前观察此毒时发现了一个线索:此毒可以重复感染同一系统。重复感染时,病毒程序会重新命名病毒文件所在目录。重命名前,它会先删除相应目录。由此,俺萌生了在中毒环境下“以毒攻毒”的思路,结果满意。

以下详述整个过程。

系统背景:系统Win8。

应用程序:安全软件有: 毒霸2012(Win8预览版)、Windows Defender、CA HIPS ;应用软件有:Acronis True Image、office 2010、adobe acrobat pro。

操作流程:

1、病毒样本经毒霸2012 验明正身(图1)。然后关闭毒霸2012。关闭Windows Defender、CA HIPS。


2、运行病毒样本,让其长驱直入。待样本完成运行后,重启系统。让它完全植入系统。(图2)


3、重启后,用毒霸2012扫一下病毒目录。结果可以预料:(图3)


4、调整一下CA HIPS的设置,再次运行病毒样本,开始“以毒攻毒”操作。(图4-图11)




















用户系统信息:Opera/9.80 (Windows NT 6.2; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.60
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2012-03-18 15:57 | 只看楼主 短消息 资料
字号: 2楼

回复:Win8系统中的“以毒攻毒”实验

续前:









5、查看“以毒攻毒”的效果(图12-图13)











6、收拾残局(图14):







7、重启系统。检查有无被感染的系统驱动(图15):








搞掂!
最后编辑baohe 最后编辑于 2012-03-18 15:59:33
gototop
 
天月来了
头像
版主
  • 帖子:76897
  • 注册: 2007-02-06
  • 来自:
发表于: 2012-03-18 20:24 | 短消息 资料
字号: 3楼

回复:Win8系统中的“以毒攻毒”实验

我们是做不了这样的控制了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
88tyq
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2012-04-05
  • 来自:
发表于: 2012-04-05 16:09 | 短消息 资料
字号: 4楼

回复:Win8系统中的“以毒攻毒”实验

太强大了!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT