瑞星卡卡安全论坛
yqlikaka - 2007-5-19 14:29:00
哎,对RISING又爱又恨~~~这就是感情啊~~~"这就是爱,说也说不清楚"对了,清除后,EXE还能用吗?
baohe - 2007-5-19 14:33:00
| 引用: |
【yqlikaka的贴子】实在感谢猫叔,那么,他没有病毒主体?只要用RS全部清除就OK?NND KAV部分可以清除,有的清不了,汗~~~~
……………… |
瑞星昨天的病毒库即可搞掂它
要什么“主体”?
这种“鬼附身”的东东远比几个所谓“主体”有用。安全软件都(多为开机加载运行)被感染了,没有所谓“主体”和启动加载项、服务项、驱动项,病毒一样能发挥作用。你扫日志————没用。这正是病毒作者的阴险之处。
这种做法,对于中招的新手来说,更可恶!求助无门啊!!
附件:
1558472007519142329.jpg
什么都不知道啊 - 2007-5-19 14:49:00
学习中!~
yqlikaka - 2007-5-19 14:57:00
呵呵,关键是它怎么中的我都不知道~``
baohe - 2007-5-19 15:10:00
| 引用: |
【yqlikaka的贴子】呵呵,关键是它怎么中的我都不知道~``
……………… |
这是一只针对“毒霸”的威金。上来,先通过net.exe、net1.exe关闭毒霸。然后,按照非系统分区——>系统分区的顺序感染.exe文件(不感染系统文件夹system32中的文件)。
天月来了 - 2007-5-19 15:11:00
在机算机里,它感染的过程到底是怎样一个数据占用的过程呢???
感染的时候至少要用到CPU和内存处理吧?
难道就没有啥工具可以监控了吗?
总不能都去用SSM吧。
如果变一变,瑞星不认了。
那以后那些用户岂不是都哭死。
呵呵!!!!!
天月来了 - 2007-5-19 15:12:00
那意味着刚开始的时候,还是可以看到net.exe、net1.exe在进程里运行咯????
baohe - 2007-5-19 15:16:00
| 引用: |
【天月来了的贴子】在机算机里,它感染的过程到底是怎样一个数据占用的过程呢???
感染的时候至少要用到CPU和内存处理吧?
难道就没有啥工具可以监控了吗?
总不能都去用SSM吧。
如果变一变,瑞星不认了。
那以后那些用户岂不是都哭死。
呵呵!!!!!
……………… |
其实,威金的作者只要稍微改动一下病毒程序,即可在SRENG等日志隐匿病毒踪影。
办法是:感染系统完成后,自动删除所谓“主体文件”及其相关注册表项。
至于感染目标吗,不要太多,就选择那些随系统加载的程序(杀软、防火墙、各种常用的HIPS)。
如果病毒作者做到这点,相信什么日志工具都没用了
baohe - 2007-5-19 15:20:00
| 引用: |
【天月来了的贴子】那意味着刚开始的时候,还是可以看到net.exe、net1.exe在进程里运行咯????
……………… |
如果SSM设置得当,可以看到两个对话框。提示信息明确。
yqlikaka - 2007-5-19 15:22:00
到底是VIKING,哎,那我收藏的专杀等于作废了,汗~~~变了种,就看不到了~~
baohe - 2007-5-19 15:27:00
| 引用: |
【yqlikaka的贴子】到底是VIKING,哎,那我收藏的专杀等于作废了,汗~~~变了种,就看不到了~~
……………… |
杀毒工具,总是落后于病毒。
这是合乎逻辑的。先有病毒,才有杀毒工具。
人们总不会针对一种不存在的细菌研制针对它的抗生素吧?
天月来了 - 2007-5-19 15:34:00
呵呵!!
我可从不想收集那些专杀,成天变来变去的,收集了,时间一长,也没多大用。
孤独更可靠 - 2007-5-19 15:36:00
魏序淘的威金专杀不错
可以分离被捆绑的文件
据说成功率相当高
或者你可以试下
yqlikaka - 2007-5-19 15:39:00
已经进垃圾桶了~~~~对了,猫叔,你是时机运行,还是虚拟上,,看来它们又逼我学习分析病毒运行了,我在这想建议BAOHE斑竹,把怎么观察病毒的运行,能给我们写个贴,教下象我怎么爱学习的孩子~~~
yqlikaka - 2007-5-19 15:40:00
是反有的VIKING专杀我都用的差不多了,没一个对他有反映
天月来了 - 2007-5-19 15:41:00
| 引用: |
【baohe的贴子】
其实,威金的作者只要稍微改动一下病毒程序,即可在SRENG等日志隐匿病毒踪影。
办法是:感染系统完成后,自动删除所谓“主体文件”及其相关注册表项。
至于感染目标吗,不要太多,就选择那些随系统加载的程序(杀软、防火墙、各种常用的HIPS)。
如果病毒作者做到这点,相信什么日志工具都没用了
……………… |
是啊!!
刚开始运行时,就选择那些随系统加载的程序。
属于自己的都清除掉,这还真绝。
天月来了 - 2007-5-19 15:44:00
不过幸好感染的.exe文件的图标大多会变了,所以还能将就发现。
如果以后图标不变,还能正常运行,岂不玩死人了!!!!!
yqlikaka - 2007-5-19 15:46:00
哎!运气还好,RISING能杀,这要不能杀,那不死悄悄了哦
baohe - 2007-5-19 15:52:00
| 引用: |
【yqlikaka的贴子】已经进垃圾桶了~~~~对了,猫叔,你是时机运行,还是虚拟上,,看来它们又逼我学习分析病毒运行了,我在这想建议BAOHE斑竹,把怎么观察病毒的运行,能给我们写个贴,教下象我怎么爱学习的孩子~~~
……………… |
法无定法(有点老和尚的语气)。
玩儿毒,先找几个自己用着顺手的保护工具。工具的选择,因人而异(选择自己顺手的)。
另外,一定要事先做好失手的准备。Diskman、sector editor.....等一类让人发疯的工具————必须熟悉其用途及使用方法,以备不时之需(遇到改写引导区的病毒,这些工具是能解决问题的)。
记得我第一次玩儿KillDisk时,傻了!!
重启后,没法进系统了。硬盘分区表被这个木马破坏了!
现找台能上网的电脑,搜索一阵,找到Diskman,下载。现看帮助文件。看完后,动手。
不想,我的XP系统分区是NTFS格式,DOS下,用diskman又有一堆问题。
关机,面壁打坐(冷静思考一下)。想到了GHOST启动盘这个“不搭界”的DD!!!
开机试试——————耶!!!能行。DOS下能用鼠标了。Diskman的使用不再成问题。
动手,耐心一步步做....
最后——————搞掂!
天月来了 - 2007-5-19 15:59:00
要知道那制毒的,做好以后,还不自己在家先狂下所有专杀试啊!!
只到都杀不了了,那鸟人才会放出来。
呵呵!!!
制毒反毒真可笑。人类在这茫茫宇宙中竟也能捣鼓出这样的过程,真有趣。
呵呵!!!
天月来了 - 2007-5-19 16:01:00
只为了毒毒,才到这卡卡认识了这么多...........
呵呵!!!
你在风尘 - 2007-5-19 17:36:00
学习中
© 2000 - 2026 Rising Corp. Ltd.