流行病毒概况以及手动查杀方法讲义 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区流行病毒概况以及手动查杀方法讲义

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

[讲义] 流行病毒概况以及手动查杀方法讲义

本主题由管理员麦青儿于 2010-2-5 16:26:27 执行关闭主题/取消操作

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-07-29 20:26 \| 显示全部短消息资料字号：小中大 11楼回复: 流行病毒概况以及手动查杀方法讲义引用: 原帖由言兮于 2009-7-29 20:24:00 发表老师！如果病毒侵入系统内核，也就是说运行于Ring0级别，那么一般的杀毒软件是不是对之失效了呢？就比如瑞星，卡巴，江民，金山等，它们都是运行于Ring3级别吗？病毒是不是很难侵入系统内核，是不是很难运行于Ring0级别？如不然杀软存在的必要性也要受到质疑了。有没可能让杀软比如说瑞星像冰刃那样可以底层查杀，能不能让瑞星在Ring0级别运行呢，那样的话不就是无敌了。不过这样的话对系统稳定性应该会有影响杀毒软件都是运行于ring0级别的但运行在ring0级别不等于就无敌了病毒和杀软都在ring0 大家权限都一样谁都可以干死谁
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-07-29 20:44 \| 显示全部短消息资料字号：小中大 12楼回复：流行病毒概况以及手动查杀方法讲义恢复杀软的SSDT钩子，使得杀软功能失效这个不是映像劫持映像劫持是注册表上的一个键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 在CreateProcess的时候（创建进程）系统会检查是否有一个子键和可执行映像的文件名和扩展名相同如果确实有，那么检查该键是否存在一个名为debugger的值如果存在咋该映像被改成该值中的字符串也就是说启动的是另外一个进程了病毒一般hook（也就是你说的占用）内核函数不会很多不会像杀毒软件那么多一般只会挂钩他需要的函数
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-07-29 20:52 \| 显示全部短消息资料字号：小中大 13楼回复 33F still刀刀的帖子真正的起作用的 NTWriteFile函数是在ntoskrnl.exe中实现的此ntdll中的NTWriteFile函数非彼ntoskrnl.exe中的NTWriteFile函数从三环中调用NTWriteFile的程序再说一下调用ntdll.dll查找NTWriteFile在SSDT中的序号服务转发器通过这个序号查找SSDT中NTWriteFile的地址(这个地址是ntoskrnl.exe中导出的真正的NTWriteFile函数）然后去刚才那个地址调用真正的NTWriteFile函数(ntoskrnl.exe中导出的真正实现功能的函数）
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-07-29 21:01 \| 显示全部短消息资料字号：小中大 14楼回复: 流行病毒概况以及手动查杀方法讲义引用: 原帖由言兮于 2009-7-29 20:59:00 发表老师，那个在安全模式全盘查杀那种易复发的病毒干掉之后就断电，对付7楼讲义上所说的那种煮不烂的病毒是否有效呢？理论上可以但也要具体问题具体分析
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT