123   1  /  3  页   跳转

零距离接触rootkit.

收藏
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-20 13:07 | 只看楼主 短消息 资料
字号: 1楼

零距离接触rootkit.

近日见到许多朋友中了rootkit不知如何下手,自己亲自试试。希望给中招的朋友们一点启

示。在这里特别感谢baohe版主的样本和实战贴。

1.运行样本(抱歉,忘记关KV了,KV报Backdoor/Rootkit.Fu 如图,已经删除)






最后编辑2005-08-02 23:21:55
分享到:
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-20 13:08 | 只看楼主 短消息 资料
字号: 2楼

2.使用dllcompare找到.exe文件,再用killbox删除。如图
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-20 13:09 | 只看楼主 短消息 资料
字号: 3楼

3.重启到WINDOWS模式下查找不到msdirectx.sys 只找到KV-Back的。(可能是被监控删除了)
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-20 13:10 | 只看楼主 短消息 资料
字号: 4楼

4.再看注册表,由于监视的原因未被改动。就这样轻松清除.
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-20 13:20 | 只看楼主 短消息 资料
字号: 5楼

补:

由于开了监控造成msdirectx.sys无法写入系统,但是也免去了不少清除该文件的步骤与注册表的RUN项.但是小心起见,还是查查注册表,并没有该文件的信息.

此文给一直被rootkit困扰的朋友们,希望能从此受点启发或信心.
gototop
 
华年木水
头像
初生襁褓狮
  • 帖子:211
  • 注册: 2005-05-05
  • 来自:
发表于: 2005-07-20 13:39 | 短消息 资料
字号: 6楼

顶!!!!!!!!!!!!!
gototop
 
RAVMON
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2005-07-20
  • 来自:
发表于: 2005-07-20 13:49 | 短消息 资料
字号: 7楼

?????????
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-20 13:50 | 短消息 资料
字号: 8楼

8错..
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-20 14:16 | 只看楼主 短消息 资料
字号: 9楼

补几张关监控的图:
1.
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-20 14:17 | 只看楼主 短消息 资料
字号: 10楼

2.
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT