瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于病毒模块插入系统、应用程序进程的问题

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 234 5 6 7 8 »

3 / 10 页

跳转页

关于病毒模块插入系统、应用程序进程的问题

初生襁褓狮

帖子:426
注册: 2005-07-25
来自:

发表于： 2007-04-03 15:09 | 短消息资料

字号：小中大 21楼

引用:

【baohe的贴子】
1、辨认系统进程中病毒模块问题：凭经验。正常系统中C:\WINDOWS\system32\文件夹中没有E5CEBDF.DLL这个文件（这个回答可能让你失望）。
2、用IceSword强制卸除系统进程中的病毒模块，实质是“结束病毒模块的运行状态”（一般来说，正在运行的文件是无法删除的）。
3、不结束病毒模块的运行状态而强制删除病毒模块文件的例子较少（这样做，要辅以特殊措施），据我的经验，也只有IceSword可以实现这种操作（尽管成功率不是100％）。那个Keygen.exe木马的处理就是个例子。强制删除病毒文件后，待硬盘无读写动作时，立即断开系统电源，即可奏效。这算个特例吧。
尽管是特例，但也是实践证明成功的例子，必要时可以考虑这样的方法。总之，手工杀毒讲究的是“灵活”，不必拘泥于什么“成规”。有时，就是要打破成规。
………………

谢谢猫叔指点。不拘一格“降”病毒，说的好

wulm 初生襁褓狮帖子:31 注册: 2006-12-18 来自:	发表于： 2007-04-03 15:16 \| 短消息资料字号：小中大 22楼不好意思，卡卡俺确实来的少。俺只是提供俺的一点小小意见，HOHO,就受不了了，看来baohe也不过尔尔,领教了
wulm 初生襁褓狮帖子:31 注册: 2006-12-18 来自:

初生襁褓狮

帖子:426
注册: 2005-07-25
来自:

发表于： 2007-04-03 15:19 | 短消息资料

字号：小中大 23楼

引用:

【wulm的贴子】此文差矣。病毒作者拼命想在服务和驱动站立一席之地，保护文件不被干掉,baohe却在指导病毒插入系统进程这种比较落后的东东，有误导之嫌。
………………

这位老兄口气忒大了点。其他我不知道，我就知道这个帖子对我等菜鸟有帮助，可以从中学到新东西。如果你觉得不屑一顾，自己有什么过人之处，拜托，就像猫叔所说的，拿出点料来给大伙儿瞧瞧，先进与否，我想群众的眼光是雪亮的

另：我上面重复了一个帖子，第一个的版面有点怪怪的，是否出问题了

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-04-03 15:23 | 只看楼主 短消息资料

字号：小中大 24楼

引用:

【wulm的贴子】不好意思，卡卡俺确实来的少。俺只是提供俺的一点小小意见，HOHO,就受不了了，看来baohe也不过尔尔,领教了
………………

这口气（图）————俨然一副大师的口吻，怎么叫“一点小小意见”？你相当的谦虚呀！！

我没有“受不了”，也没什么可“受不了”的。
只是愿闻你的高见。

附件:

文件名:155847200743151319.jpg

下载次数:230

文件类型:image/pjpeg

文件大小:

上传时间:2007-4-3 15:23:01

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

初生襁褓狮

帖子:21
注册: 2005-07-07
来自:

发表于： 2007-04-03 15:39 | 短消息资料

字号：小中大 25楼

引用:

【wulm的贴子】不好意思，卡卡俺确实来的少。俺只是提供俺的一点小小意见，HOHO,就受不了了，看来baohe也不过尔尔,领教了
………………

我等菜鸟愿闻其详,不能光说不练,呵呵,

菜鸟玩病毒拙长孩提狮帖子:119 注册: 2006-11-12 来自:	发表于： 2007-04-03 16:13 \| 短消息资料字号：小中大 26楼学习了,感谢baohe斑斑的分享......
菜鸟玩病毒拙长孩提狮帖子:119 注册: 2006-11-12 来自:

Aofa2007 初生襁褓狮帖子:6 注册: 2007-03-02 来自:	发表于： 2007-04-03 16:40 \| 短消息资料字号：小中大 27楼学习拉~~~刚起步~~楼主多发点这样的贴
Aofa2007 初生襁褓狮帖子:6 注册: 2007-03-02 来自:

xzlx3354 拙长孩提狮帖子:121 注册: 2007-02-03 来自:	发表于： 2007-04-03 16:56 \| 短消息资料字号：小中大 28楼 unlocker也挺好用的，不妨也加上
xzlx3354 拙长孩提狮帖子:121 注册: 2007-02-03 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-04-03 17:00 | 只看楼主 短消息资料

字号：小中大 29楼

引用:

【xzlx3354的贴子】unlocker也挺好用的，不妨也加上
………………

unlocker，我没用过。不知到它对插入winlogon、lsass、csrss这类核心进程中的病毒模块效能如何。对于我没实践过的工具，我不会评价（无论是正面的，还是负面的）。否则，某些“高手”们又拿到攻击我的根据了。我不希望这个帖子变成“战场。
如果你有实践经验，请写出来，与大家分享。这里非常欢迎有实践基础的杀毒技巧帖。
近期，乱插进程的病毒较多。另不少新手头痛。

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-04-03 17:13 \| 短消息资料字号：小中大 30楼哎呀！！！！！不会是又遇到一位高人吧？？？？？？？？真想看看今晚 wulm 为我们处理几个难的贴，也好学学。真的学的痴了我。见谁有高论，我就心痒哩！！！！
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

1 234 5 6 7 8 »

3 / 10 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于病毒模块插入系统、应用程序进程的问题

关于病毒模块插入系统、应用程序进程的问题

附件:

文件名:155847200743151319.jpg 下载次数:230 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(49939); 上传时间:2007-4-3 15:23:01 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于病毒模块插入系统、应用程序进程的问题

文件名:155847200743151319.jpg

下载次数:230

文件类型:image/pjpeg

文件大小:

上传时间:2007-4-3 15:23:01

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01