瑞星卡卡安全论坛技术交流区 系统软件【求助】怎么用冰刃查找注入ie进程的木马？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

【求助】怎么用冰刃查找注入ie进程的木马？

nimda 初生襁褓狮帖子:24 注册: 2007-11-13 来自:	发表于： 2007-11-13 13:46 \| 只看楼主短消息资料字号：小中大 1楼【求助】怎么用冰刃查找注入ie进程的木马？我用最新版的冰刃查看我的服务器的进程老发现有ie进程（这时我并没有打开ie浏览器），重启系统后立刻用冰刃查看进程发现依然有ie进程（每次重启都有），但用冰刃查看并没有出现，象一些教程说的如果是“隐藏的进程”会出现红色的标记，但我肯定我的服务器中了木马（还有其他一些事例可以做为佐证），请问，这种情况下我怎么能够通过冰刃找到这个有可能注入ie进程马的藏身处和其有关的服务呢？ [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2007-11-14 15:35:43.497000000
nimda 初生襁褓狮帖子:24 注册: 2007-11-13 来自:	分享到：

nimda 初生襁褓狮帖子:24 注册: 2007-11-13 来自:	发表于： 2007-11-13 17:26 \| 只看楼主短消息资料字号：小中大 2楼我在“监视进线程创建”处发现有红色标志的，这是否说明该线程是病毒呢？那是个“调用方进程映像名叫csrss.exe,目标进程映像名叫explorer.exe”的，还有此处还有蓝色和绿色标志那又代表的是什么意思呢？
nimda 初生襁褓狮帖子:24 注册: 2007-11-13 来自:

CAPTjoe 强壮不惑狮帖子:1045 注册: 2006-09-29 来自:	发表于： 2007-11-13 18:24 \| 短消息资料字号：小中大 3楼建议：1.如果不熟悉的话，请慎用冰刀。 2.关于插入IE的检查，可以右击IE后看‘进程信息’或‘模块信息’，看看是否有可疑的dll文件。
CAPTjoe 强壮不惑狮帖子:1045 注册: 2006-09-29 来自:

初生襁褓狮

帖子:24
注册: 2007-11-13
来自:

发表于： 2007-11-14 15:21 | 只看楼主 短消息资料

字号：小中大 4楼

引用:

【CAPTjoe的贴子】建议：1.如果不熟悉的话，请慎用冰刀。
2.关于插入IE的检查，可以右击IE后看‘进程信息’或‘模块信息’，看看是否有可疑的dll文件。
………………

下面图片是这个ie进程的‘模块信息’和‘线程信息’大家给看一看！

附件:

文件名:97677120071114150959.jpg

下载次数:528

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:21:09

描述:

初生襁褓狮

帖子:24
注册: 2007-11-13
来自:

发表于： 2007-11-14 15:22 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【nimda的贴子】

下面图片是这个ie进程的‘模块信息’和‘线程信息’大家给看一看！

………………

附件:

文件名:97677120071114151058.jpg

下载次数:513

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:22:08

描述:

初生襁褓狮

帖子:24
注册: 2007-11-13
来自:

发表于： 2007-11-14 15:22 | 只看楼主 短消息资料

字号：小中大 6楼

引用:

【nimda的贴子】

………………

附件:

文件名:97677120071114151135.jpg

下载次数:524

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:22:45

描述:

初生襁褓狮

帖子:24
注册: 2007-11-13
来自:

发表于： 2007-11-14 15:23 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【nimda的贴子】

………………

附件:

文件名:97677120071114151213.jpg

下载次数:503

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:23:22

描述:

初生襁褓狮

帖子:24
注册: 2007-11-13
来自:

发表于： 2007-11-14 15:30 | 只看楼主 短消息资料

字号：小中大 8楼

引用:

【nimda的贴子】

………………

附件:

文件名:97677120071114151935.jpg

下载次数:548

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:30:45

描述:

初生襁褓狮

帖子:24
注册: 2007-11-13
来自:

发表于： 2007-11-14 15:32 | 只看楼主 短消息资料

字号：小中大 9楼

引用:

【nimda的贴子】

………………

以下是“监视进线程创建”处发现有红色标志的图片，这是否说明该线程是病毒呢？

附件:

文件名:97677120071114152122.jpg

下载次数:544

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:32:35

描述:

初生襁褓狮

帖子:24
注册: 2007-11-13
来自:

发表于： 2007-11-14 15:33 | 只看楼主 短消息资料

字号：小中大 10楼

引用:

【nimda的贴子】

以下是“监视进线程创建”处发现有红色标志的图片，这是否说明该线程是病毒呢？

………………

附件:

文件名:97677120071114152204.jpg

下载次数:565

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:33:14

描述:

<<上一主题|下一主题>>

1 / 2 页

跳转页

nimda 初生襁褓狮帖子:24 注册: 2007-11-13 来自:	发表于： 2007-11-13 13:46 \| 只看楼主短消息资料字号：小中大 1楼【求助】怎么用冰刃查找注入ie进程的木马？我用最新版的冰刃查看我的服务器的进程老发现有ie进程（这时我并没有打开ie浏览器），重启系统后立刻用冰刃查看进程发现依然有ie进程（每次重启都有），但用冰刃查看并没有出现，象一些教程说的如果是“隐藏的进程”会出现红色的标记，但我肯定我的服务器中了木马（还有其他一些事例可以做为佐证），请问，这种情况下我怎么能够通过冰刃找到这个有可能注入ie进程马的藏身处和其有关的服务呢？ [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2007-11-14 15:35:43.497000000
nimda 初生襁褓狮帖子:24 注册: 2007-11-13 来自:	分享到：

瑞星卡卡安全论坛技术交流区系统软件 【求助】怎么用冰刃查找注入ie进程的木马？

【求助】怎么用冰刃查找注入ie进程的木马？

【求助】怎么用冰刃查找注入ie进程的木马？

附件:

文件名:97677120071114150959.jpg 下载次数:528 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(70369); 上传时间:2007-11-14 15:21:09 描述:

附件:

文件名:97677120071114151058.jpg 下载次数:513 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(59074); 上传时间:2007-11-14 15:22:08 描述:

附件:

文件名:97677120071114151135.jpg 下载次数:524 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(29382); 上传时间:2007-11-14 15:22:45 描述:

附件:

文件名:97677120071114151213.jpg 下载次数:503 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(29687); 上传时间:2007-11-14 15:23:22 描述:

附件:

文件名:97677120071114151935.jpg 下载次数:548 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(179799); 上传时间:2007-11-14 15:30:45 描述:

附件:

文件名:97677120071114152122.jpg 下载次数:544 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(27652); 上传时间:2007-11-14 15:32:35 描述:

附件:

文件名:97677120071114152204.jpg 下载次数:565 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(24381); 上传时间:2007-11-14 15:33:14 描述:

瑞星卡卡安全论坛技术交流区系统软件【求助】怎么用冰刃查找注入ie进程的木马？

文件名:97677120071114150959.jpg

下载次数:528

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:21:09

描述:

文件名:97677120071114151058.jpg

下载次数:513

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:22:08

描述:

文件名:97677120071114151135.jpg

下载次数:524

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:22:45

描述:

文件名:97677120071114151213.jpg

下载次数:503

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:23:22

描述:

文件名:97677120071114151935.jpg

下载次数:548

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:30:45

描述:

文件名:97677120071114152122.jpg

下载次数:544

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:32:35

描述:

文件名:97677120071114152204.jpg

下载次数:565

文件类型:image/pjpeg

文件大小:

上传时间:2007-11-14 15:33:14

描述: