1234   2  /  4  页   跳转

一只奇怪的鸽子

收藏
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-01-20 19:43 | 短消息 资料
字号: 11楼

希望网警不久就说出"规则包可防御"的话来,呵呵
gototop
 
q3zz
头像
初生襁褓狮
  • 帖子:289
  • 注册: 2003-10-26
  • 来自:
发表于: 2006-01-20 20:05 | 短消息 资料
字号: 12楼

"并试图插入msctf.dll和msctfime.ime"?这两个文件能插入?HOOK不=插入,钩msctf.dll是为了截取密码,钩msctfime.ime可能是又有人发现了微软输入法的BUG.拦截写文件的API看看它对输入法做了什么,可能是和输入法一起启动了.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-20 20:37 | 只看楼主 短消息 资料
字号: 13楼

引用:
【q3zz的贴子】"并试图插入msctf.dll和msctfime.ime"?这两个文件能插入?HOOK不=插入,
...........................

不是看到SSM日志的“HOOK”才说“插入”。
用dos.exe感染系统时,TPF的Activity Monitor监测报告显示:dos.exe injecting to other proccess。被插对象是msctf.dll和msctfime.ime。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-20 21:01 | 只看楼主 短消息 资料
字号: 14楼

引用:
【闪电风暴的贴子】这么厉害的鸽子,卡巴斯基怎么可能查出来?也应该奇怪卡巴斯基
...........................

卡巴斯基怎为什么就不能查出来?只要有人上报样本,卡巴的反应速度还是比较快的。
gototop
 
逝去的风07
头像
健康舞勺狮
  • 帖子:279
  • 注册: 2004-10-31
  • 来自:
发表于: 2006-01-20 21:41 | 短消息 资料
字号: 15楼

高手说话,我一旁学习~~~
gototop
 
shi008
头像
初生襁褓狮
  • 帖子:187
  • 注册: 2004-12-28
  • 来自:
发表于: 2006-01-20 23:21 | 短消息 资料
字号: 16楼

还是跟着学点皮毛吧!
gototop
 
飙飚
头像
初生襁褓狮
  • 帖子:37
  • 注册: 2005-07-13
  • 来自:
发表于: 2006-01-21 01:37 | 短消息 资料
字号: 17楼

鸽子真讨厌
gototop
 
q3zz
头像
初生襁褓狮
  • 帖子:289
  • 注册: 2003-10-26
  • 来自:
发表于: 2006-01-21 08:46 | 短消息 资料
字号: 18楼

那是理解的问题,应该理解为远程线程注射,而不是对文件插入.要实现跨进程HOOK都是要有这一步的.
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-01-21 09:25 | 短消息 资料
字号: 19楼

【回复“baohe”的帖子】
那么在不借助其它工具的前提下,卡巴斯基能清除它吗?
gototop
 
佡劍の帅帅
头像
初生襁褓狮
  • 帖子:102
  • 注册: 2005-09-12
  • 来自:
发表于: 2006-01-21 09:29 | 短消息 资料
字号: 20楼

估计清不了的。。
gototop
 
<<上一主题|下一主题>>
1234   2  /  4  页   跳转
页面顶部
Powered by Discuz!NT