baohe - 2008-5-5 22:50:00
在SSM面前,它徒有虚名。
用户系统信息:Opera/9.26 (Windows NT 5.1; U; zh-cn)附件:
a.jpg
baohe - 2008-5-5 22:53:00
一个没加载的.sys,就是个待拍的黄瓜(用IceSword删除即可)。
附件:
c.jpg
天月来了 - 2008-5-6 7:58:00
呵呵!!
总是一开始的防护工作没做好。
所以SSM现在越来越不被看好。:default7:
应该还是个人使用电脑对软件的影响较大吧。
sako - 2008-5-7 7:01:00
这个名字比较经典
苏大米!
加载的DD挺多
叔,它就是靠那个驱动sudami。sys活 ??
Eileen1208 - 2008-5-7 8:43:00
我的电脑里有thumb.dl的病毒,还有几个类似回收站图标样式的病毒,用什么办法可以删除啊?我的瑞星根本就杀不了。谢谢啦!
★蓝色羽毛★ - 2008-5-7 9:28:00
原帖由 sako 于 2008-5-7 7:01:00 发表
这个名字比较经典
苏大米!
加载的DD挺多
叔,它就是靠那个驱动sudami。sys活 ??
这个样本我也拿到了,我这里发现就释放了这个驱动,然后打开一个网页
凌枫宝宝 - 2008-5-15 17:51:00
都是嚷的挺凶,真正有威力的病毒还是不多
轩辕小聪 - 2008-5-16 20:34:00
我倒了……
sudami那个驱动的意义,本来就是在加载后起作用的。
用HIPS拦截,让它不能加载驱动,当然就不能发挥作用,也就没有了研究的意义了。
更何况,这个驱动只是为了演示如何对付KV等杀毒软件的自我保护,包括还原众多的inline hook,搜索未导出的内核函数,或者自己实现内核函数的功能,等等。
因此,从anti-rootkit的角度上,从对系统底层和杀毒软件HIPS原理的研究上来说,sudami的分析和尝试是有价值的。
因此,这个程序没有考虑其他的比如如何过主动防御来加载驱动的问题,也不是针对SSM和TINY的。拦截掉它的驱动加载,与sudami所要讨论的技术内容,是牛头不对马嘴。
更何况sudami不是写病毒的,只是一个系统内核编程的爱好者。这个程序也不是用来干坏事的,并不是实用形的病毒程序。
zxiso - 2008-5-17 21:37:00
SSM没有FD
小企鹅S - 2008-5-20 20:36:00
前苏联大米,有意思。它是以什么方法干掉杀软的?结束进程?干掉启动加载项?破坏注册表相关键值?
天月2008 - 2008-5-22 20:17:00
AX呵呵000 - 2008-5-31 11:02:00
rising我比较支持 中国的希望了
KV ...... 比较看不好 虽然rising没有卡巴好用 但对于大部分的人还是适合的,毕竟卡巴询问得太多:( rising的HIPS还要加强才行
好人做到底 - 2008-5-31 20:14:00
用金山清理专家和恶意软件助手试一试
两个铁球 - 2008-6-1 1:39:00
猫版又回头用TINY啦!
猫版去年所言不虚,真正掌握tiny,在不看别人教程、自我索之下确实得一年时间。
如今总算入佳境啦,呵呵.......:default6:
sbyygy - 2008-6-1 11:57:00
BAOHE斑斑怎么不在反病毒区了?有你对付病毒我们放心哪。
果冻·布丁 - 2008-6-2 19:17:00
ewido+卡巴也不错,就是慢了点
© 2000 - 2025 Rising Corp. Ltd.
