| 引用: |
【地区性的贴子】什么是IFEO?
还有,猫叔,那么多病毒文件你是怎么找齐的?前几天我同学家电脑中了一堆病毒,病毒文件alg32.exe,rising.com,rundll64.exe,svchsot.exe等等一堆,塞在系统文件当中,在这种情况下该怎么办,杀软被干掉了。
我实在没办法,只好用ghost恢复系统了事。
……………… |
1、IFEO劫持例:
病毒在:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下面创建一个键360rpt.exe
在此键中定义一个字符串键值名Debugger,键值是c:\program files\common files\microsoft shared\pumthsg.exe(病毒程序)。
病毒创建N个这样的劫持项,键名分别是杀软、防火墙、常用杀毒工具的.exe。中毒后,凡是运行这些杀软、防火墙以及手工杀毒常用工具时,均执行Debugger键值指向的病毒程序。
2、病毒文件问题:运行病毒样本时,可以借助适当工具监视,记录。我一般用Tiny。
