123   2  /  3  页   跳转

HijackThis扫描软件的缺点

收藏
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2006-12-03 21:16 | 短消息 资料
字号: 11楼

对于 瑞星 听诊器 
1  不支持  查杀

2 不支持 启动项 服务等删除 或修改

3 家族病毒库  一年 没更新几次


足够 说明 问题了
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2006-12-03 21:20 | 只看楼主 短消息 资料
字号: 12楼

引用:
【mopery的贴子】我使用的扫描软件
HijackThis  SREng  autoruns  gmer

还有其他的扫描工具..

我也吖根没刻意去使用任何一款..

至少现在的论坛需求 主要以 SREng 为主 HijackThis 等等为辅..

这样的分析足够灭掉普通用户计算机中的病毒..
………………

谢谢斑竹,System Repair Engineer 这款软件我非常欣赏,就是希望软件的作者可以把报告更有层次一些,方便分析。
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-12-03 21:22 | 短消息 资料
字号: 13楼

引用:
【UFO不幸外人的贴子】

这点我同意,但是至少HJ没有瑞星听诊器全面一些

包括现在的冰刃,都需要改进,前今天刚从黑防看一篇文章,说明如何关冰刃,因为我不是特别懂的汇编,所以没有完全看懂,但是理论已经明白。

我一般只是追求一个方便的软件,使用瑞星杀毒软件,也是因为这一点。

对于HJ,初学者不适合使用
对于瑞星听诊器来说,初学者一般可以看懂,至少知道它的报告在说那一部分
………………



HJ 是扫描类的工具最容易的..
gototop
 
deadmanzj
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-07-24
  • 来自:
发表于: 2006-12-03 21:23 | 短消息 资料
字号: 14楼

昨天我 看到过一个听诊器的日志。。。日志大概有HJ的2,3倍。。。这东西看完,眼睛都要痛死了,楼主如果喜欢可以去看
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-12-03 21:24 | 短消息 资料
字号: 15楼

引用:
【deadmanzj的贴子】昨天我 看到过一个听诊器的日志。。。日志大概有HJ的2,3倍。。。这东西看完,眼睛都要痛死了,楼主如果喜欢可以去看
………………


我从来不知道有个 听诊器
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2006-12-03 21:27 | 只看楼主 短消息 资料
字号: 16楼

引用:
【taylor05771的贴子】
以RootKit.AntiHide.a 为例(瑞星命名)

这个 sys 的加载 必须 要有  temp文件夹 中的svchost.exe 支持

不删除其 EXE  冰刃 删除其 sys 根本无效  重启 立即 复活


从DLL判断 病毒的宿主 更是 笑话

以 灰鸽子为例

其中的key.dll  就插入 绝大部分的 进程

但是你 删除 那个DLL有用吗 肯定没用


删除灰鸽子 首先 就要  删除其 服务


否则 是 无效的




………………


灰鸽子我删除过,首先,要脱掉所有宿主文件下的DLL。否则服务会被重新启动。这一点用冰刃可以做到。

至于你说的另外一个病毒,我没有遇到过,但是我遇到过一个恶意软件+病毒,根本没有EXE文件 只有一个DLL,一个SYS文件,DLL宿主于桌面的EXE。SYS直接进入内核。删除文件根本没有用处。因为只要有一个文件在运行,就可以恢复。只能删除的同时,快速令启。这是唯一的方法
gototop
 
deadmanzj
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-07-24
  • 来自:
发表于: 2006-12-03 21:28 | 短消息 资料
字号: 17楼

说错,好象是卡卡的日志很长很长的,听诊器就不清楚了。。。http://forum.ikaka.com/topic.asp?board=28&artid=8222883就这帖子里的。。看完要吐血的哇。。。
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2006-12-03 21:28 | 只看楼主 短消息 资料
字号: 18楼

引用:
【taylor05771的贴子】
以RootKit.AntiHide.a 为例(瑞星命名)

这个 sys 的加载 必须 要有  temp文件夹 中的svchost.exe 支持

不删除其 EXE  冰刃 删除其 sys 根本无效  重启 立即 复活


从DLL判断 病毒的宿主 更是 笑话

以 灰鸽子为例

其中的key.dll  就插入 绝大部分的 进程

但是你 删除 那个DLL有用吗 肯定没用


删除灰鸽子 首先 就要  删除其 服务


否则 是 无效的




………………
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2006-12-03 21:30 | 只看楼主 短消息 资料
字号: 19楼

引用:
【deadmanzj的贴子】昨天我 看到过一个听诊器的日志。。。日志大概有HJ的2,3倍。。。这东西看完,眼睛都要痛死了,楼主如果喜欢可以去看
………………


我想知道你怎么看,我看完这个东西也就1-2分钟,因为并不要想你这样仔细看。否则System Repair Engineer V2.2.6.605软件的日志你不更要花掉么
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2006-12-03 21:36 | 只看楼主 短消息 资料
字号: 20楼

引用:
【taylor05771的贴子】对于 瑞星 听诊器 
1  不支持  查杀

2 不支持 启动项 服务等删除 或修改

3 家族病毒库  一年 没更新几次


足够 说明 问题了
………………


不应该支持查杀,和启动项、服务、winlogon等启动的修改

这个是我的观点,去注册表手改虽然麻烦,但是彻底,也可以发现问题,比如无法删除等问题,还可以分析病毒的保护机制。我从来是先分析病毒再杀毒,瑞星也就是我的分析工具,而不作为杀毒工具,辅助杀毒工具当今不可否认最好的是冰刃。可以快速彻底的删除大部分病毒。

至于家族病毒库的更新问题,其实这个东西没有用,现在的家族病毒很明显就这么几种,而且短时间出现的大量变种并不能定义为家族病毒。只要对1年更新1次就可以了

我认为瑞星听诊器的最大问题就在于标题,包括HJ等杀毒辅助工具,标题经常带有固定字符,容易被病毒查杀进程。
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT