瑞星卡卡安全论坛

rootkit为什么难缠，因为你看不见...
用附件中的工具运行自动查出隐藏进程然后自动自动终止搞定。。。


baohe评注：我的试验结果在4－6楼。证明rkdetector的查杀效果不行。不推荐使用此工具。

附件: 3499852005719191749.rar

说一步有点轻松了.

太好了,我果然给杀了.谢谢兄弟啊!


baohe问：真杀了？用什么杀的？请赐教。

引用:

【JayFaye的贴子】rootkit为什么难缠，因为你看不见... 用附件中的工具运行自动查出隐藏进程然后自动自动终止搞定。。。 ...........................

　　附件是什么东西？楼主能不能说得详细些。

【回复“JayFaye”的帖子】
我的实验结果1：用rootkit样本感染系统

附件: 1558472005719221623.jpg

【回复“JayFaye”的帖子】
我的试验结果2：用你提供的rkdetector杀过之后，再启动卡巴斯基查毒》》

附件: 1558472005719221802.jpg

【回复“JayFaye”的帖子】
我的试验结果3：卡巴斯基还行！

注意：卡巴斯基杀掉了的是.sys。它那个同伙还睡在%system%中。当你打开%system%文件夹时，卡巴斯基才会自动将其吃掉。

附件: 1558472005719221912.jpg

【回复“JayFaye”的帖子】
提供我的实验样本，供你重复实验结果。
附件是病毒。不要随便下载运行。

附件: 1558472005719222217.rar

等等pluto1313的进一步检测分析

汗，这个工具是在一个黑客论坛上发现的，我也没用过。
既然不行就别置顶了，丢脸啊~~~~

我重新作了一个专题，不过在江民，大家有兴趣可以去看看：
http://forum.jiangmin.com/dispbbs.asp?boardID=2&ID=394193&page=1

不是打广告啊

对于我在江民论坛的那个帖，经验丰富的baohe和其他坛友们可以给点意见
这个病毒好烦，各大黑客论坛都在提起rootkit的隐身技术，汗~~

Rookit本来就很烦，这个东西感觉会出大乱子的

引用:

【天天泡泡的贴子】Rookit本来就很烦，这个东西感觉会出大乱子的 ...........................

这么晚了居然还在啊

还是非常感谢

baohe大版，再送你一小吃，作为回报

这个比你那个稍微麻烦一点点（主要是病毒会不断重复运行，结束进程没用，不过注册表的东西倒不会重复写入，删除注册表相关东东后重新启动即可完全干掉）

附件: 349985200572014826.rar

【回复“JayFaye”的帖子】谢谢！礼物收下。帖子取消置顶了。置顶，也没别的意思。只是看到有省事的办法——眼前一亮，就拿上来了。
之后，又觉得不妥：我自己没试过呀，到底效果如何？
于是，那手头的样本试了一下——不行。
但是，还要考虑问题的另一方面——这工具，我用得正确吗？因此，没敢再冒然取消置顶。等楼主回来回复再说。
事情经过就是这样。希望楼主不要误解我。其实，我是为中招的朋友们着急呀！今天，询问rootkit的帖子骤然增多。我那个置顶帖，不少朋友又看不大明白。

引用:

【baohe的贴子】【回复“JayFaye”的帖子】谢谢！礼物收下。帖子取消置顶了。置顶，也没别的意思。只是看到有省事的办法——眼前一亮，就拿上来了。 之后，又觉得不妥：我自己没试过呀，到底效果如何？ 于是，那手头的样本试了一下——不行。 但是，还要考虑问题的另一方面——这工具，我用得正确吗？因此，没敢再冒然取消置顶。等楼主回来回复再说。 事情经过就是这样。希望楼主不要误解我。其实，我是为中招的朋友们着急呀！今天，询问rootkit的帖子骤然增多。我那个置顶帖，不少朋友又看不大明白。 ...........................

我没别的意思，只是觉得自己没测试就发个贴实在不好意思，
汗~~~~我有五个样本，不过现在手头就只有你给的和我给你的那两个了，其他的删掉了，没意思~~~~

【回复“JayFaye”的帖子】rootkit的样本确实难搞。我那种杀法，还能指望留下样本？都死翘翘了。不知道你是否有提取这类样本的妙法？如有，请赐教。