loveperday - 2007-5-22 23:34:00
对于菜鸟来说,不是测毒,是被毒测……
这几天,仗着会看了SREng日志,于是,装了影子系统,TinyFirewall,搞了样本,就开始动手了。。。
TinyFirewall不会详细设置,于是设置了最简单的,D,E,C所有文件允许修改访问等,但是监控。到了影子系统下,运行“兔宝宝”样本。我的NOD32杀毒,必须把文件监控禁用,如果只是退出的话,依然运行不了样本。
运行样本后,就看见监控窗口,哗哗哗的刷。。。在遍历所有文件。。。过了一会,EXE文件成功被感染。点击无反应。
想用SREng扫日志,才发现,它也被感染了。。。我改名。。改名字,运行。有意思的是,虽然仍然不能用,但是目录下会出现一个SREng.exe。于是我想到了重新解压出来,再改个名字。结果发现RAR主程序已经被感染,打不开RAR文件了。好在我的SREng是用ZIP压缩的,而WIN系统自带解压功能。于是解压,以最快速度改名字(主要是后缀)。结果熟悉的SREng界面一闪而过,没了。。。
不甘心,重启再进影子。在运行样本前就把SREng,autoruns,冰刃全部改了名字。运行样本……SREng还是一闪而过。另两个点了没反应。因为这个时候我的CPU已经被cmd和attrib占满了。
用REGEDIT搜索,没有发现注册表项。
看来,他只是注入DLL文件。
看过猫叔的帖子了,可是我的机器早就关闭了系统还原,为了节省资源。即使用NOD32,他也不能清除病毒,只能删除。。唉。。郁闷。
除了开TinyFirewall外,难道就没有其他方法了么。。悲哀。。
可以说这次是真正被毒测了。明白了测毒道路的艰辛。。
发泄一下,AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA!!!!
这几天,仗着会看了SREng日志,于是,装了影子系统,TinyFirewall,搞了样本,就开始动手了。。。
TinyFirewall不会详细设置,于是设置了最简单的,D,E,C所有文件允许修改访问等,但是监控。到了影子系统下,运行“兔宝宝”样本。我的NOD32杀毒,必须把文件监控禁用,如果只是退出的话,依然运行不了样本。
运行样本后,就看见监控窗口,哗哗哗的刷。。。在遍历所有文件。。。过了一会,EXE文件成功被感染。点击无反应。
想用SREng扫日志,才发现,它也被感染了。。。我改名。。改名字,运行。有意思的是,虽然仍然不能用,但是目录下会出现一个SREng.exe。于是我想到了重新解压出来,再改个名字。结果发现RAR主程序已经被感染,打不开RAR文件了。好在我的SREng是用ZIP压缩的,而WIN系统自带解压功能。于是解压,以最快速度改名字(主要是后缀)。结果熟悉的SREng界面一闪而过,没了。。。
不甘心,重启再进影子。在运行样本前就把SREng,autoruns,冰刃全部改了名字。运行样本……SREng还是一闪而过。另两个点了没反应。因为这个时候我的CPU已经被cmd和attrib占满了。
用REGEDIT搜索,没有发现注册表项。
看来,他只是注入DLL文件。
看过猫叔的帖子了,可是我的机器早就关闭了系统还原,为了节省资源。即使用NOD32,他也不能清除病毒,只能删除。。唉。。郁闷。
除了开TinyFirewall外,难道就没有其他方法了么。。悲哀。。
可以说这次是真正被毒测了。明白了测毒道路的艰辛。。
发泄一下,AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA!!!!