“磁碟机”病毒的作者看过来！

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 “磁碟机”病毒的作者看过来！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-01-19 15:33 \| 显示全部短消息资料字号：小中大 1楼 “磁碟机”病毒的作者看过来！更新啊！更新！你都更新了N次了。这DD还是俺的手下败将。病毒作者看仔细了：你的最新作品死得很难看！怎么死的？自己琢磨去！那个试图通过AppInt_DLLs加载、乱插进程的dnsq.dll写注册表时根本就没写成功。据我猜测：你下一次更新，你又该琢磨怎么灭SSM了。不过，在这里事先告诉你：俺这次调戏你，压根没用SSM。以下三幅图是将你的最新大作植入系统，重启后的截图。图1 [用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn) 附件: 文件名:1558472008119152203.jpg 下载次数:544 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-19 15:33:35 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2008-02-28 15:29:06
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-01-19 15:34 \| 显示全部短消息资料字号：小中大 2楼图2 附件: 文件名:1558472008119152257.jpg 下载次数:555 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-19 15:34:32 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-01-19 15:34 \| 显示全部短消息资料字号：小中大 3楼图3 附件: 文件名:1558472008119152322.jpg 下载次数:562 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-19 15:34:54 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-01-19 17:39 \| 显示全部短消息资料字号：小中大 4楼驱动也找不到了。急死你！小样！！附件: 文件名:1558472008119172805.jpg 下载次数:523 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-19 17:39:36 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2008-01-19 20:10 | 显示全部 短消息资料

字号：小中大 5楼

引用:

【轩辕小聪的贴子】就驱动的使用，给病毒作者一些忠告：
1. 使用CreateServiceA来创建驱动服务，你以为安全软件都是盲的么？要拦截你的驱动加载是很容易的事。你至少采用个有创意点的吧。
2. 对注册表做了N多操作之后再加载驱动，还原SSDT？那你在之前的注册表操作中很容易就被拦截了。
单单这前两项，你的驱动就很可能完全没有发挥作用的机会。
3. 你在R3情况下通过加载ntoskrnl.exe，搜索其重定位表，定位ntoskrnl.exe中填充KeServiceDescriptorTable的指令，以找到SSDT表在ntoskrnl.exe中的偏移。
我敢肯定你这个是抄的。这样虽然可行，但是需要时间和RP。
实际上驱动很容易就直接得到SSDT表在内核中的位置，配合ntoskrnl.exe在内核空间的基址，就直接得到其相对偏移，而这个偏移在文件中是不变的。只要在驱动响应IRP_MJ_DEVICE_CONTROL的例程中加上一段，让R3程序与之通信，从驱动返回SSDT表的偏移，就完全不用遍历重定位表那么庞大的工作量了。
这样你甚至都不用用LoadLibraryExA把ntoskrnl.exe加载（这又是一个容易被人发现的地方，比如卡巴就HOOK住了这个API），直接CreateFileA读文件都行了，因为ntoskrnl.exe的内存映像和文件区段其实是完全对齐的，你连内存偏移到文件偏移的换算都可以不需要。
至于你抄袭的对象，为什么要用重定位表的方法，我想很可能人家是为了不用驱动在R3就对SSDT表进行还原，所以要采取这样麻烦的手法（这个你不用想学了，这样一来SSM恐怕马上报你读取物理内存），你既然还是要用驱动，却要学得四不像，那是你自己的问题了。

4.你的驱动写得很烂。不，是抄得很烂，肯定是把人家一个实验性的“习作”抄过来了。
代码太简单了，必要的判断都没有，对传入的函数地址，连一个MmIsValidAddress都不做，对驱动的稳定性也太不负责任了吧？
这相当于造成一个新的漏洞，只要了解你的驱动接口，就可以往SSDT表任意位置写入任意地址，既可以用作SSDT HOOK，也可能分分钟导致严重的系统问题。
更何况你偷吃还不擦嘴，你创建的设备名，到底是"\Device\SSDTCL"，还是"\Device\NetApi00"？
既然是后者，为什么还留着前者的RtlInitUnicodeString操作？
我看这完全是抄来的结果，敢情人家本来创建的是"\Device\SSDTCL"，你把它改成"\Device\NetApi00"，但是却忘了删去人家本来的RtlInitUnicodeString操作，从而造成了连续两次RtlInitUnicodeString。

搞出这么滑稽的事情，你这个“拿来主义”，也拿得太失败了一点吧？！
………………

跟他说这些，基本上是“对牛弹琴”。这家伙的人品和脑子都有问题。

病毒与反病毒之间的游戏，讲究的是“斗智”；而非“斗狠”。这点，“磁碟机”作者根本就不明白（其愚顽品质在他的“作品”中体现的淋漓尽致）。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2008-01-20 18:33 | 显示全部 短消息资料

字号：小中大 6楼

引用:

【ofeifeio的贴子】天月说的有道理，但是我真的不知道版主们在沾沾自喜什么东西，能给一个已经中了病毒的人提出解决的办法么？

当点开被挂了马的网页时候
诺顿是直接拦截了的，但是瑞星和江民马上就被关闭了
………………

解决办法“清新阳光”版主已经给了：http://forum.ikaka.com/topic.asp?board=28&artid=8417985
估计下一版磁碟机就会着手废掉“清新阳光”提到的这个工具（病毒作者就是在较劲）。

如果你不是该毒作者，我这个帖子你没必要看。其它的，不跟你说了。这个帖子本来就不是给中招后的人提供参考的。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2008-01-20 18:35 | 显示全部 短消息资料

字号：小中大 7楼

引用:

【博导的贴子】小心阴暗的木马作者，一气之下，心理加速变态。

一不做，二不休。

唉，可怜的小散，哦，不对，是可怜的用户。

哈哈。。。
………………

我等他来格我的硬盘

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2008-01-20 19:35 | 显示全部 短消息资料

字号：小中大 8楼

引用:

【ofeifeio的贴子】不是NTFS的
………………

如果你的系统还能安装WIN PE，可以从网上找个干净的WINPE，安装后，在WIN PE下删除那些病毒文件（毕竟这些病毒文件都是已知的）。
此后，再清理注册表。
大致处理步骤就是这些。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2008-01-21 10:48 | 显示全部 短消息资料

字号：小中大 9楼

引用:

【ofeifeio的贴子】再次感谢天月的热心

另外希望版主看看从此不想中毒的帖子，我们目前的状况基本相同杀毒软件无法发现被感染的文件

不同的是我不能搜索所有的exe文件Delete掉，并且很多文件还要马上用。。。额。。
………………

被感染文件的处理问题，只能靠杀软处理。不同的杀软，处理染毒文件的效果有所不同。有些杀软，不能清除其中的病毒代码；另外一些，可以清除被感染文件的病毒代码，但经杀软处理后的被感染文件已不能使用。当然还有一些杀软可以搞掂被感染文件，保证其经杀软处理后还能正常运行。
总之，被感染文件的处理效果，取决于你用什么杀软。
再放一次“马后炮”（已经放过N次了。听劝的人寥寥无几。）：对于病毒，防远远重于杀。定期的系统备份、用户数据备份...等工作是不能忽略的。备份最好做在光盘上。这样，相对安全些。

<<上一主题|下一主题>>

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-01-19 15:33 \| 显示全部短消息资料字号：小中大 1楼 “磁碟机”病毒的作者看过来！更新啊！更新！你都更新了N次了。这DD还是俺的手下败将。病毒作者看仔细了：你的最新作品死得很难看！怎么死的？自己琢磨去！那个试图通过AppInt_DLLs加载、乱插进程的dnsq.dll写注册表时根本就没写成功。据我猜测：你下一次更新，你又该琢磨怎么灭SSM了。不过，在这里事先告诉你：俺这次调戏你，压根没用SSM。以下三幅图是将你的最新大作植入系统，重启后的截图。图1 [用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn) 附件: 文件名:1558472008119152203.jpg 下载次数:544 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-19 15:33:35 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2008-02-28 15:29:06
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 “磁碟机”病毒的作者看过来！

“磁碟机”病毒的作者看过来！

“磁碟机”病毒的作者看过来！

附件:

文件名:1558472008119152203.jpg 下载次数:544 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(220626); 上传时间:2008-1-19 15:33:35 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472008119152257.jpg 下载次数:555 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(89730); 上传时间:2008-1-19 15:34:32 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472008119152322.jpg 下载次数:562 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(99287); 上传时间:2008-1-19 15:34:54 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472008119172805.jpg 下载次数:523 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(91944); 上传时间:2008-1-19 17:39:36 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

文件名:1558472008119152203.jpg

下载次数:544

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-19 15:33:35

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472008119152257.jpg

下载次数:555

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-19 15:34:32

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472008119152322.jpg

下载次数:562

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-19 15:34:54

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472008119172805.jpg

下载次数:523

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-19 17:39:36

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01