123   1  /  3  页   跳转

To:BaoHe斑竹`

收藏
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-09-20 18:09 | 只看楼主 短消息 资料
字号: 1楼

To:BaoHe斑竹`

baohe,你好,我在a-v中国样本区提取了win32.rootkit.h样本。
自己操作少,手生,现在问题来了,有空麻烦帮忙解答一下哦.

1.运行样本后,系统没明显异常表现(XPSP2).%system%搜寻sysmon32.exe与msderitx.sys,无果.运行后提示无权限访问,如图1.

2.对应注册表
    HKLM\SYSTEM\CONTROLSET001\下没找到msderictx项.
    HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogon\下没发现"shell=explorer.exe sysmon32.exe"
    却是在其他处发现健值.如图2.

3.IceSword中也没sysmon32进程存在,但是SSM又提示启动后监视过程中都发现有项目改动,如图3.

4.卡巴扫后没毒.

以上这些是在关了杀软,但开着SSM,和Tiny Firewall下进行的,是否以为拦截成功?这些都是怎么回事啊? 注册表内搜寻到的删?  应该做些什么?
最后编辑2005-09-20 20:16:22
分享到:
gototop
 
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-09-20 18:10 | 只看楼主 短消息 资料
字号: 2楼

图一:
提示:windows无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 18:10:51
描述:
gototop
 
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-09-20 18:11 | 只看楼主 短消息 资料
字号: 3楼

图二:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 18:11:31
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-20 18:11 | 短消息 资料
字号: 4楼

引用:
【心言的贴子】baohe,你好,我在a-v中国样本区提取了win32.rootkit.h样本。
自己操作少,手生,现在问题来了,有空麻烦帮忙解答一下哦.

1.运行样本后,系统没明显异常表现(XPSP2).%system%搜寻sysmon32.exe与msderitx.sys,无果.运行后提示无权限访问,如图1.

2.对应注册表
    HKLM\SYSTEM\CONTROLSET001\下没找到msderictx项.
    HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogon\下没发现"shell=explorer.exe sysmon32.exe"
    却是在其他处发现健值.如图2.

3.IceSword中也没sysmon32进程存在,但是SSM又提示启动后监视过程中都发现有项目改动,如图3.

4.卡巴扫后没毒.

以上这些是在关了杀软,但开着SSM,和Tiny Firewall下进行的,是否以为拦截成功?这些都是怎么回事啊? 注册表内搜寻到的删?  应该做些什么?
...........................


图呢?
gototop
 
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-09-20 18:12 | 只看楼主 短消息 资料
字号: 5楼

图三:SSM监视的

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 18:12:23
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-20 18:15 | 短消息 资料
字号: 6楼

【回复“心言”的帖子】
是“feishe”发的那个“sysmon32.rar”吗?
gototop
 
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-09-20 18:17 | 只看楼主 短消息 资料
字号: 7楼

【回复“baohe”的帖子】
是的。
地址:http://www.anti-vir.cn/bbs/read.php?tid=339&fpage=1
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-20 18:19 | 短消息 资料
字号: 8楼

【回复“心言”的帖子】
图3——SSM已经将注册表中的msdirectx清除了,你在注册表中当然找不到msdirectx了。
要观察病毒感染全过程,遇到SSM移除的项目,先按F2(禁止移除)。
gototop
 
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-09-20 18:24 | 只看楼主 短消息 资料
字号: 9楼

哦,这样啊。汗。。SSM和Tiny Firewall今天刚下,
运行病毒前后是否应关闭墙和杀软,
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-20 18:26 | 短消息 资料
字号: 10楼

引用:
【心言的贴子】【回复“baohe”的帖子】
是的。
地址:http://www.anti-vir.cn/bbs/read.php?tid=339&fpage=1
...........................

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 18:26:23
描述:
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT