瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】强烈怀疑IceSword加载错误驱动可能是新版SSM所致!

1   1  /  1  页   跳转

【原创】强烈怀疑IceSword加载错误驱动可能是新版SSM所致!

收藏
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-14 12:35 | 显示全部 短消息 资料
字号: 1楼

【原创】强烈怀疑IceSword加载错误驱动可能是新版SSM所致!

接我的帖子:
http://forum.ikaka.com/topic.asp?board=28&artid=8209333


今天开机,IS仍然无法加载正确驱动,无奈之下将新版SSM597关闭,结果IS果然正确加载!见图1:

附件附件:

下载次数:329
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-14 12:35:13
描述:
预览信息:EXIF信息



最后编辑2006-11-17 13:25:42
分享到:
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-14 12:38 | 显示全部 短消息 资料
字号: 2楼

另外发现,那个错误的驱动与正确的驱动ispub120.sys是同一个文件。只不过换了名字而已

附件附件:

下载次数:309
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-14 12:38:17
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-14 12:39 | 显示全部 短消息 资料
字号: 3楼

但是,如果在SSM的规则中删除Isdrv120.sys的规则,IS可正常加载!
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-16 12:37 | 显示全部 短消息 资料
字号: 4楼

只要加载成功一次,SSM便在重启之前再也无法控制isdrv120.sys,即使你阻止了它,它也可以加载
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-16 12:42 | 显示全部 短消息 资料
字号: 5楼

好像阻止驱动只有正式版才提供
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-17 13:30 | 显示全部 短消息 资料
字号: 6楼

网上查了一下,这个函数好像是用来获得对进程的DEBUG权限的,通过调用它,使用OpenProcess便可以打开更多的进程句柄.


问题是我没有中这个木马,IS加载也报错...
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-17 13:33 | 显示全部 短消息 资料
字号: 7楼

只要一个文件一被更改,MD5立即就会变.如果想造出两个一样的MD5的文件,基本不可能吧.难道是FuckJucks.exe把MD5计算也垄断了?

(以前听说过IS好像采用过动态驱动名的技术.)
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-17 13:34 | 显示全部 短消息 资料
字号: 8楼

另外我没有这个木马的样本,求求猫叔给我一个>......kxzhmc500@sina.com
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT