123   2  /  3  页   跳转

[原创] Rootkit为什么难缠

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-12 08:54 | 显示全部 短消息 资料
字号: 11楼

引用:
【8897603的贴子】怎麽瑞星杀不了?强列建议将该毒列入病毒库!
...........................

不是杀软杀得了杀不了的问题。你看看我在15-16楼贴的两张图就明白了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-12 17:29 | 显示全部 短消息 资料
字号: 12楼

引用:
【Handsome_001的贴子】我的win98系统运行了mss.exe
没找到citteo.exe,

...........................

没找到citteo.exe是对的。mss.exe每运行一次,生成的病毒文件名都不同。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-12 17:46 | 显示全部 短消息 资料
字号: 13楼

引用:
【Handsome_001的贴子】
那我的机子还有危险吗?
从启后监控再没有报。
...........................

如果不放心的话,可以用IceSword看一下%windows%中是否还有msdirectx.sys。如果没有了,就行了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-12 17:58 | 显示全部 短消息 资料
字号: 14楼

引用:
【Handsome_001的贴子】IceSword在什么地方有?
哦没有用过。
...........................

是个免费的好工具。网上找。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-13 10:15 | 显示全部 短消息 资料
字号: 15楼

引用:
【Handsome_001的贴子】【回复“艾玛”的帖子】
是啊,avp4.5在正常模式下不能清除,监控一直不停的报。
所以我说不喜病毒者不要下那个附件。
(ps:开始还以为那个附件是IceSword,不然是不会下的)
...........................

即使下载那个附件,解压前看不见文件名?文件名是mss.exe,不是IceSword。怎么会有这种误解?不明白。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-13 10:15:57
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-13 20:37 | 显示全部 短消息 资料
字号: 16楼

引用:
【lenovodiyitcs的贴子】大家用的都是WINDOWS ME吧?我的系统是xp的,是否一样有效?
...........................

你看看我用的那几个工具——与系统无关。另外,我的系统就是XP。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-14 19:57 | 显示全部 短消息 资料
字号: 17楼

引用:
【◎向日★葵!的贴子】我按照楼主的办法杀掉了msdirectx.sys
但是现在开机出现了Backdoor.Rbot.atr这个病毒
查了一下也是木马
不知道跟Rootkit是否有关?
msdirectx.sys已经没有再出来过了~~
先谢过各位达人了!!~~
...........................

问题是这样的:中bot后门可能会带进rootkit;中bot后门的原因可能是系统缺少补丁。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-17 16:13 | 显示全部 短消息 资料
字号: 18楼

引用:
【清风阁☆四少的贴子】


学习了,最近一直不知道这个病毒那么厉害,


不知道这个病毒是利用什么漏洞来感染电脑的,可否告知,还有这个病毒的特性等等,

看楼主用的工具都是用C++做的吧,虽然最近的努力让自己有少许进步,不过还是有很大不足,今后做软件一定要注意代码,不给那些恶意之徒留任何机会
...........................

rootkit本身是件“隐身衣”,不少病毒/木马都能穿。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-17 23:13 | 显示全部 短消息 资料
字号: 19楼

【回复“鱼儿上岸了”的帖子】是比较困难。不过,如果中了夹带rootkit的病毒/木马,卡巴斯基这类杀软大多会报(只是在WINDOWS下不能杀而已)。你可以看杀软的查杀报告,就知道病毒文件名和路径了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-28 17:07 | 显示全部 短消息 资料
字号: 20楼

引用:
【zhjx200的贴子】8、清理注册表:
定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除注册表项:msdirectx;
定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;
将"Userinit"="userinit.exe,citteo.exe"改为"Userinit"="userinit.exe"。搞定!

这时你在第一楼里写的,可我在注册表中并没有发现msdirectx这一项,并且“Userinit”项里也只有“userinit.exe”,这时怎么回事啊
...........................

看看下面这个帖子吧,着重看“注2”:
http://forum.ikaka.com/topic.asp?board=28&artid=6787830
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT