原帖由 flyinhell 于 2011-6-24 20:27:00 发表
TDL3 本来就没必要测。那工具是检测MBR的 ,TDL3只是感染系统文件 ,自然不能处理。TDL4的发上来看看吧 。
TDL4样本,360不是拿到了吗?还用我这样的外行提供?
这个TDL4(dll.exe)改写MBR的确切证据在此(见下图),但360这个专杀就是检测不到。
注解:
1、操作背景及过程:WINDOWS7 (32位旗舰版)系统。关闭所有安全软件,运行病毒样本dll.exe。待其完整运行后, 重启系统。此时,病毒感染过程已经全部完成。
2、运行360专杀,杀毒结果如主帖图所示。然后再运行卡巴专杀,查毒结果如主帖所示。关闭卡巴专杀(不杀毒)。将WINPE 引导盘(U盘)插入USB口,重启系统。
3、重启时按F12,选择U盘引导,进入WINPE环境。用SECTOREDITOR导出硬盘的MBR,以文本文件Disk0_0x0-virus.txt存贮。然后用WINPE自带的DISKGENIUS重建MBR,接下来,再找回硬盘各分区,保存结果。再用SECTOREDITOR导出硬盘的MBR 以文本文件Disk0_0x0-normal.txt存贮。
4、用 SECTOREDITOR将硬盘尾部的192个扇区填“0”,删除C盘中病毒释放的.tmp文件。
5、重启系统到Windows7 环境,用UC打开 Disk0_0x0-normal.txt 和 Disk0_0x0-virus.txt,比较文本中的差异。UC仅以行为位单位标识差异部分,比较结果 以淡蓝色显示。确切的差异部分我在上图中用两个红杠标出(红杠之间的内容) 。