baohe - 2005-12-16 11:21:00
前面谈过Autoruns基准日志与染毒后日志的比较,可以轻易发现带.sys的灰鸽子。那么,用它是否可以侦测大多数这类驱动级木马呢?
拿另一个隐匿性比较好的Trojan.Win32.Agent.go试试。
1、事先运行IceSword和SSM。然后,用此马感染系统(图1)。
附件:
15584720051216112921.jpg
baohe - 2005-12-16 11:24:00
2、SSM和IceSword都能发现木马注册的系统服务(图2)。
附件:
15584720051216113137.jpg
baohe - 2005-12-16 11:24:00
3、立即用Autoruns比较基准日志(系统干净时扫的)与染毒后日志——无任何发现(图3)。
附件:
15584720051216114256.jpg
baohe - 2005-12-16 11:25:00
4、顺便看看SSM的防护效果如何(图4)。加入禁止木马服务加载的规则后,重启系统。
附件:
15584720051216113612.jpg
诸神的黄昏 - 2005-12-16 11:25:00
老大快发。好不容易今天有空。
baohe - 2005-12-16 11:25:00
5、再顺便看看Autoruns在安全模式下以及木马的系统服务被禁止后的侦测效果(图5)。
附件:
15584720051216113917.jpg
baohe - 2005-12-16 11:27:00
上述实验结果提示:
1、不要过分依赖某个工具。任何安全工具都有其局限性。
2、其实,这个木马感染系统后,即使不采取任何处理措施,启动到安全模式下,通过Autoruns的日志比较,也能侦测到木马注册的系统服务。同样条件下,在WINDOWS模式,Autoruns就看不到木马的服务(被木马的Ywvpysxl.sys屏蔽了)。由此可见:安全工具的使用环境是不可忽视的(但这也是最容易被人忽视的)。
3、SSM和IceSword也未必就那么神。只不过我们还没遇到躲避这两个工具的病毒/木马而已。我们使用这些安全工具找毒、杀毒;病毒作者也会研究使这些工具失效的新病毒。病毒与反病毒的“斗法”仍会继续下去。
4、我们学习使用安全工具,只是多掌握一些可能有用的杀毒、防毒手段;但不能指望任何安全软件(或实用工具)为我们提供一劳永逸的保护。
病毒新手 - 2005-12-16 11:55:00
学习了!~~~
不言放弃 - 2005-12-16 15:12:00
版本老兄厉害
学习了
嘢蠻丫头 - 2005-12-16 15:54:00
好帖,授鱼的同时也在授渔!!`支持!~
风暴男 - 2005-12-16 17:14:00
利害..我竟然没看懂..晕死...
uiabc1234 - 2005-12-16 20:29:00
学习了
闪电风暴 - 2005-12-16 21:01:00
学习了
影子110 - 2005-12-16 21:18:00
这个Autoruns的日志比较是怎么操作的呢~~
baohe - 2005-12-16 21:32:00
| 引用: |
【影子110的贴子】
这个Autoruns的日志比较是怎么操作的呢~~
........................... |
系统干净时,扫个autoruns日志,保存在一个稳妥的地方。系统中安装新程序后,重新扫,并更新原来的日志。
发现系统有问题时,再扫一个,并与原来那个比较。具体操作见:http://forum.ikaka.com/topic.asp?board=28&artid=7545378
影子110 - 2005-12-17 7:25:00
噢~~~
它可以在软件内进行日志比较~~
明白了~~`
独孤豪侠 - 2005-12-17 10:55:00
强呀~~~~~
命运里の金色 - 2005-12-18 11:19:00
好贴,没有什么工具是万能的,只要好好用都其作用
从头爱你 - 2005-12-18 12:22:00
看不懂
但还是学习``
斑竹镇牛比```
天天网 - 2005-12-18 12:29:00
这个mark搞的几个工具都有日志比较的,
顺带问一下偶乱点了一下Tokeman ^-^ 后,突然自动重启(类似断电后重启),再使用IceSword时也出现了这种状况,有知道原因的吗? 实在不行干脆重装了
QQ435838663 - 2005-12-19 22:52:00
学习中。
学无至境 - 2005-12-20 10:32:00
看来,这个软件还挺实用的。顶。
11天天11 - 2005-12-22 19:44:00
明白了 懂了
© 2000 - 2026 Rising Corp. Ltd.