孤独更可靠 - 2007-6-13 16:34:00
哈哈,回头我也试试``
7位数字双进程守护,人数占优哈~~~
7位数字双进程守护,人数占优哈~~~
| 引用: |
| 【日不懂啊的贴子】【回复“baohe”的帖子】 猫叔啊,随即的名字。EXE怎么劫持啊? 他名字要变的啊 不懂,HOHO ……………… |
| 引用: |
| 【baohe的贴子】 昨天,在系统中“养”了两个IFEO劫持类蠕虫,一个“随机7”、“随机8”。 今天,心血来潮,想象让这两个蠕虫比试一下功力————看看哪个更牛些。 关闭所有安全软件。 依次点击蠕虫程序:先运行“随机7”,再运行“随机8”。 然后,改名运行SRENG,SRENG的进程立即被病毒结束;再运行,SRENG进程再次被病毒结束;第三次运行SRENG——OK! 用SRENG扫到的异常项如下: 启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <vbcyhid><C:\Program Files\Common Files\System\terebmi.exe> [N/A] <xywrebh><C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{A00A872A-872A-00AC-2A00-72A0A72A00AC}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll> [N/A] ================================== 正在运行的进程 [PID: 1228][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A] [PID: 656][C:\windows\system32\atiptaxx.exe] [ATI Technologies, Inc., 6.13.10.2531] [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A] [PID: 1112][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A] [PID: 1348][C:\Program Files\Internet Download Manager\IDMan.exe] [Internet Download Manager Corp., Tonec Inc. , 5, 0, 0, 0] [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A] [PID: 3616][C:\Program Files\WinRAR\WinRAR.exe] [N/A, N/A] [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A] [PID: 2712][C:\Program Files\Common Files\System\terebmi.exe] [N/A, N/A] [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A] [PID: 2732][C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe] [N/A, N/A] [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A] [PID: 3256][C:\Autoruns\autorun.exe] [Sysinternals - www.sysinternals.com, 8.43] [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A] [PID: 3400][C:\Documents and Settings\baohelin\桌面\S.EXE] [Smallfrogs Studio, 2.3.13.690] [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll] [N/A, N/A] ================================== Autorun.inf [D:\] [AutoRun] open=872A00AC.exe shell\open=打开(&O) shell\open\Command=872A00AC.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=872A00AC.exe 从进程插入和Autorun.inf的内容来看,“随机8”更牛些。想想刚才的运行顺序(先运行“随机7”,再运行“随机8”)难道是后来者居上? 于是,再次点击“随机7”病毒程序,再扫SRENG日志。看看Autorun.inf的内容: Autorun.inf [D:\] [AutoRun] open=872A00AC.exe shell\open=打开(&O) shell\open\Command=872A00AC.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=872A00AC.exe 还是“随机8”更牛! 接下来是如何收拾残局的问题了。 记得昨天在SSM的规则中已经禁止“随机7”与“随机8”的所有病毒程序。 现在的问题是:因SSM被病毒劫持而不能发挥作用。咋办? 想想................. 有主意了!! 1、改名运行新版IceSwod(不受IFEO劫持类病毒的影响),禁止进程创建;结束系统核心进程以外的所有进程;删除“随机8”的启动项: <{A00A872A-872A-00AC-2A00-72A0A72A00AC}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll> 2、删除涉及瑞星、Tiny、SSM的IFEO劫持项。保留“随机7”的启动项。 3、添加两个IFEO劫持项,将“随机7”的两个病毒程序劫持到SSM(syssafe.exe;图1)。 4、重启系统。 5、重启后,报SSM加载两次(图2)。证明我的IFEO劫持生效了。 到此,无论“随机7”还是“随机8”,病毒就只有死路一条了(图3)。 最后,删除“随机7”的加载项,用工具重建IFEO,导入原先备份的注册表项。搞掂。 图1 ……………… |
| 引用: |
| 【loveperday的贴子】 远景晟地里有 ……………… |
| 引用: |
| 【loveperday的贴子】是个安全类论坛,HIPS专区。 需要帐号才能下载的。 bbs.pcvista.cn ……………… |
| 引用: |
| 【日不懂啊的贴子】【回复“baohe”的帖子】 猫叔啊,随即的名字。EXE怎么劫持啊? 他名字要变的啊 不懂,HOHO ……………… |
| 引用: |
| 【xqb761的贴子】BAOHE大叔,发个样本给我哈,谢谢~~~ 邮箱:xqbin318@163.com 密码:1234 ……………… |
| 引用: |
| 【sanjingshou的贴子】猫叔:上次我问你的那个劫持导致SRENG无法运行,其他的都可以 有没有什么好方法解决啊? ……………… |
| 引用: |
| 【三月学毒的贴子】新版IceSwod(不受IFEO劫持类病毒的影响), 哪里有的下啊 给个地址吧 ……………… |
| 引用: |
| 【loveperday的贴子】没号注册啊,我晕~ ……………… |
| 引用: |
| 【baohe的贴子】 留下邮箱。 发给你 ……………… |
| 引用: |
| 【琼台听雨的贴子】猫叔,新版的ICESWORD能邮箱传一下吗?谢谢了 yangfeng4963@163.com ……………… |