1   1  /  1  页   跳转

[原创] Win8系统中的“以毒攻毒”实验

Win8系统中的“以毒攻毒”实验

在Win8下玩儿ZeroAccess新变种,无辅助工具可用(XueTr等在Win8下不能运行) 。不脱离中毒环境,进入PE,要删除病毒释放的所有文件,貌似不大可能。

由于之前观察此毒时发现了一个线索:此毒可以重复感染同一系统。重复感染时,病毒程序会重新命名病毒文件所在目录。重命名前,它会先删除相应目录。由此,俺萌生了在中毒环境下“以毒攻毒”的思路,结果满意。

以下详述整个过程。

系统背景:系统Win8。

应用程序:安全软件有: 毒霸2012(Win8预览版)、Windows Defender、CA HIPS ;应用软件有:Acronis True Image、office 2010、adobe acrobat pro。

操作流程:

1、病毒样本经毒霸2012 验明正身(图1)。然后关闭毒霸2012。关闭Windows Defender、CA HIPS。


2、运行病毒样本,让其长驱直入。待样本完成运行后,重启系统。让它完全植入系统。(图2)


3、重启后,用毒霸2012扫一下病毒目录。结果可以预料:(图3)


4、调整一下CA HIPS的设置,再次运行病毒样本,开始“以毒攻毒”操作。(图4-图11)




















用户系统信息:Opera/9.80 (Windows NT 6.2; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.60
分享到:
gototop
 

回复:Win8系统中的“以毒攻毒”实验

续前:









5、查看“以毒攻毒”的效果(图12-图13)











6、收拾残局(图14):







7、重启系统。检查有无被感染的系统驱动(图15):








搞掂!
最后编辑baohe 最后编辑于 2012-03-18 15:59:33
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT