byshell067特殊清除办法

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 byshell067特殊清除办法

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:	发表于： 2006-01-20 11:49 \| 只看楼主短消息资料字号：小中大 1楼 byshell067特殊清除办法针对置顶的 byshell 我们可以采用一些特殊的办法来处理所谓的byshell067 无进程无端口无文件,似乎很N 但是这样处理过的后门虽然有逃避查杀的优点,但是也存在致命的弱点以byshell067 beta2为例我们来看看 byshell的 067的运作方式利用线程注射DLL到系统进程，解除DLL映射，并删除自身DLL和EXE文件，删除自身创建的服务，仅仅存在于内存中。于是在寄主机器上无法找到任何新增服务项，磁盘文件或者是进程空间里的不明DLL。关机时，该程序会截获关机的调用，在系统关闭之前恢复自己。对于已知的 byshell 可以通过瑞星杀毒软件的内存查杀可以清除. 但是对于未知的呢大家注意这个东西关机时，该程序会截获关机的调用，在系统关闭之前恢复自己。在此之前文件仅存在内存之中而且大家知道内存中的文件在断电后就消失了.而且不会恢复所以我们可以采用特殊的办法给计算机强行断电,内存中的文件消失了,自然也没有后门了从这个例子我们可以看出即使是再NB的后门也有其致命的缺陷在刻意做免杀的同时,也会暴露出不可避免的缺陷所以抛开常规的思维,不妨就其的弱点换种思维方式我们已经拥有这样一个思维模式杀毒必须靠杀软其次辅助工具再其次手工抛开固定的思维模式,从分析病毒的弱点下手这才能在日益繁多的病毒中立于不败之地. 2006-01-31 16:29:41
taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:	分享到：

2116bromgamed2m 锋芒艾服狮帖子:1263 注册: 2005-10-18 来自:SC	发表于： 2006-01-20 13:52 \| 短消息资料字号：小中大 2楼给计算机强行断电,内存中的文件消失了,自然也没有后门了哈哈，有学拉一招！
2116bromgamed2m 锋芒艾服狮帖子:1263 注册: 2005-10-18 来自:SC

特邀体验者

帖子:861
注册: 2005-09-18
来自:

发表于： 2006-01-20 13:55 | 短消息资料

字号：小中大 3楼

引用:

【taylor05771的贴子】针对置顶的 byshell 我们可以采用一些特殊的办法来处理
所谓的byshell067 无进程无端口无文件,似乎很N
但是这样处理过的后门虽然有逃避查杀的优点,但是也存在致命的弱点
以byshell067 beta2为例
我们来看看 byshell的 067的运作方式
利用线程注射DLL到系统进程，解除DLL映射，并删除自身DLL和EXE文件，
删除自身创建的服务，仅仅存在于内存中。
于是在寄主机器上无法找到任何新增服务项，磁盘文件或者是进程空间里的不明DLL。
关机时，该程序会截获关机的调用，在系统关闭之前恢复自己。
对于已知的 byshell 可以通过瑞星杀毒软件的内存查杀可以清除.
但是对于未知的呢
大家注意这个东西
关机时，该程序会截获关机的调用，在系统关闭之前恢复自己。
在此之前文件仅存在内存之中
而且大家知道内存中的文件在断电后就消失了.而且不会恢复
所以我们可以采用特殊的办法
给计算机强行断电,内存中的文件消失了,自然也没有后门了
从这个例子我们可以看出
即使是再NB的后门也有其致命的缺陷
在刻意做免杀的同时,也会暴露出不可避免的缺陷
所以抛开常规的思维,不妨就其的弱点换种思维方式
我们已经拥有这样一个思维模式杀毒必须靠杀软其次辅助工具再其次手工
抛开固定的思维模式,从分析病毒的弱点下手这才能在日益繁多的病毒中立于不败之地.
...........................

学习

jiqimao401 拙长孩提狮帖子:174 注册: 2005-12-18 来自:暗之夜	发表于： 2006-01-20 14:05 \| 短消息资料字号：小中大 4楼强。。。
jiqimao401 拙长孩提狮帖子:174 注册: 2005-12-18 来自:暗之夜

爱我就跟我走初生襁褓狮帖子:668 注册: 2005-08-29 来自:	发表于： 2006-01-20 14:38 \| 短消息资料字号：小中大 5楼哈哈，这招强啊^_^
爱我就跟我走初生襁褓狮帖子:668 注册: 2005-08-29 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-01-20 14:45 \| 短消息资料字号：小中大 6楼【回复“taylor05771”的帖子】查杀办法与byshell063相同——直接断电。 http://forum.ikaka.com/topic.asp?board=28&artid=7673718
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:	发表于： 2006-01-20 14:48 \| 只看楼主短消息资料字号：小中大 7楼类似仅存在内存的病毒都这样直接断电处理掉
taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:

精致油970427 叱咤花甲狮帖子:2924 注册: 2005-12-09 来自:	发表于： 2006-01-20 19:26 \| 短消息资料字号：小中大 8楼了解了，哈哈。
精致油970427 叱咤花甲狮帖子:2924 注册: 2005-12-09 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-01-20 19:34 \| 短消息资料字号：小中大 9楼学习
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

天天网强壮不惑狮帖子:782 注册: 2005-03-12 来自:	发表于： 2006-01-20 22:41 \| 短消息资料字号：小中大 10楼 OK
天天网强壮不惑狮帖子:782 注册: 2005-03-12 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:	发表于： 2006-01-20 11:49 \| 只看楼主短消息资料字号：小中大 1楼 byshell067特殊清除办法针对置顶的 byshell 我们可以采用一些特殊的办法来处理所谓的byshell067 无进程无端口无文件,似乎很N 但是这样处理过的后门虽然有逃避查杀的优点,但是也存在致命的弱点以byshell067 beta2为例我们来看看 byshell的 067的运作方式利用线程注射DLL到系统进程，解除DLL映射，并删除自身DLL和EXE文件，删除自身创建的服务，仅仅存在于内存中。于是在寄主机器上无法找到任何新增服务项，磁盘文件或者是进程空间里的不明DLL。关机时，该程序会截获关机的调用，在系统关闭之前恢复自己。对于已知的 byshell 可以通过瑞星杀毒软件的内存查杀可以清除. 但是对于未知的呢大家注意这个东西关机时，该程序会截获关机的调用，在系统关闭之前恢复自己。在此之前文件仅存在内存之中而且大家知道内存中的文件在断电后就消失了.而且不会恢复所以我们可以采用特殊的办法给计算机强行断电,内存中的文件消失了,自然也没有后门了从这个例子我们可以看出即使是再NB的后门也有其致命的缺陷在刻意做免杀的同时,也会暴露出不可避免的缺陷所以抛开常规的思维,不妨就其的弱点换种思维方式我们已经拥有这样一个思维模式杀毒必须靠杀软其次辅助工具再其次手工抛开固定的思维模式,从分析病毒的弱点下手这才能在日益繁多的病毒中立于不败之地. 2006-01-31 16:29:41
taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:	分享到：