瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 第1次以身试毒~~猫叔来看看,还有孤独

123   2  /  3  页   跳转

第1次以身试毒~~猫叔来看看,还有孤独

收藏
sanjingshou
头像
强壮不惑狮
  • 帖子:1166
  • 注册: 2006-07-15
  • 来自:
发表于: 2007-06-13 20:37 | 短消息 资料
字号: 11楼

引用:
【孤独更可靠的贴子】

有跟踪工具么?``

HIPS是一定要有的`````
(我现在2个)

最后是弄个VM或影子``

………………

我用的虚拟机+SSM,病毒根本不运行了。。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-13 20:59 | 短消息 资料
字号: 12楼

引用:
【日不懂啊的贴子】
用猫叔教的在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 里面Userinit设置了改了名字的冰刃。然后重起。期待冰刃开机运行开始搞病毒

结果开机,冰刃运行不了。打开就自己跳啊跳啊。。。删除IEFO没用,病毒自己会建。运行病毒之前把IEFO的权限关了,病毒依然可以劫持。
………………

请将你改过的userinit项以及改名后的IceSword的文件名及其路径贴上来看看。
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-06-13 21:31 | 只看楼主 短消息 资料
字号: 13楼

都GHOST过了。
我把冰刃改成3213.exe.把冰刃的整个那个文件夹也改了,叫1333

在注册表里是这样搞的
C:\WINDOWS\system32\userinit.exe,d:\1333\3213.exe

不知道这样对不对,哈哈
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-06-13 21:32 | 只看楼主 短消息 资料
字号: 14楼

但有一点疑问的是,我改了冰刃的名字,可是在那个剑的图标里名字是3213.exe但下面还有一行灰色的IceSword
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-13 21:40 | 短消息 资料
字号: 15楼

引用:
【日不懂啊的贴子】都GHOST过了。
我把冰刃改成3213.exe.把冰刃的整个那个文件夹也改了,叫1333

在注册表里是这样搞的
userinit.exe,d:\1333\3213.exe

不知道这样对不对,哈哈
………………

不明白:你的系统在D盘?
改名的IcrSword是3213.exe?这个3213.exe放在D:\1333\目录下?
我的理解没问题吧?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-13 21:45 | 短消息 资料
字号: 16楼

引用:
【日不懂啊的贴子】但有一点疑问的是,我改了冰刃的名字,可是在那个剑的图标里名字是3213.exe但下面还有一行灰色的IceSword
………………

我的系统在C盘。改名的IceSword:
C:\IS.exe
userinit设置如下图。
染毒环境下,重启系统后,IS.exe可以运行。

附件附件:

下载次数:176
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-13 21:45:34
描述:
预览信息:EXIF信息
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-06-13 21:47 | 只看楼主 短消息 资料
字号: 17楼

晕哟,明天把冰刃直接放D盘,照葫芦画瓢了
再试试看,不行再GHOST,哈哈~~~~
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-13 21:47 | 短消息 资料
字号: 18楼

引用:
【日不懂啊的贴子】但有一点疑问的是,我改了冰刃的名字,可是在那个剑的图标里名字是3213.exe但下面还有一行灰色的IceSword
………………

正常现象
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-06-13 21:48 | 只看楼主 短消息 资料
字号: 19楼

我明白怎么回事了
我系统还是C盘~~~
低级错误55555
谢谢猫叔了~~
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-06-13 21:53 | 短消息 资料
字号: 20楼

意思是启动程序必须是系统盘的程序?汗。。
LZ居然实际测试,佩服。。。
HIPS类软件很多,国产的PS和EQ其实还都可以。
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT