花落花又开 - 2005-7-20 13:07:00
近日见到许多朋友中了rootkit不知如何下手,自己亲自试试。希望给中招的朋友们一点启
示。在这里特别感谢baohe版主的样本和实战贴。
1.运行样本(抱歉,忘记关KV了,KV报Backdoor/Rootkit.Fu 如图,已经删除)
花落花又开 - 2005-7-20 13:08:00
2.使用dllcompare找到.exe文件,再用killbox删除。如图
花落花又开 - 2005-7-20 13:09:00
3.重启到WINDOWS模式下查找不到msdirectx.sys 只找到KV-Back的。(可能是被监控删除了)
花落花又开 - 2005-7-20 13:10:00
4.再看注册表,由于监视的原因未被改动。就这样轻松清除.
花落花又开 - 2005-7-20 13:20:00
补:
由于开了监控造成msdirectx.sys无法写入系统,但是也免去了不少清除该文件的步骤与注册表的RUN项.但是小心起见,还是查查注册表,并没有该文件的信息.
此文给一直被rootkit困扰的朋友们,希望能从此受点启发或信心.
华年木水 - 2005-7-20 13:39:00
顶!!!!!!!!!!!!!
RAVMON - 2005-7-20 13:49:00
?????????
endurer - 2005-7-20 13:50:00
8错..
花落花又开 - 2005-7-20 14:16:00
补几张关监控的图:
1.
花落花又开 - 2005-7-20 14:17:00
2.
花落花又开 - 2005-7-20 14:22:00
3.
JayFaye - 2005-7-20 14:43:00
厉害,厉害,失敬,失敬...
花落花又开 - 2005-7-20 14:46:00
【回复“JayFaye”的帖子】
笑话了...好久不见呵呵.
天才少年 - 2005-7-20 14:54:00
sfgfsdg
花落花又开 - 2005-7-20 16:14:00
自己贴自己顶一下:)
JayFaye - 2005-7-20 16:24:00
帮你一把吧...
花落花又开 - 2005-7-20 16:30:00
【回复“JayFaye”的帖子】
为何说rdriv.sys,extel.exe之类更难缠?思路和原理都是一样滴啊
bobo无极限 - 2005-7-20 17:40:00
regedit回14楼的
bobo无极限 - 2005-7-20 17:41:00
好贴,巴错!
花落花又开 - 2005-7-20 18:18:00
路过,灌小水- -`
希望中招的朋友认真分析baohe斑竹的置顶贴.
我不懂啊 - 2005-7-24 17:49:00
再帖几张图吧
你的图都显示不出来
我都不知怎么做
yansidexiaoyu - 2005-8-2 23:21:00
我这样做了,可是过了一天又出来了
yansidexiaoyu - 2005-8-2 23:21:00
我这样做了,可是过了一天又出来了
© 2000 - 2026 Rising Corp. Ltd.