瑞星卡卡安全论坛综合娱乐区活动专区实习生专区实习生交流区 手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)

12   2  /  2  页   跳转

[问题/讨论] 手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)

收藏
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-01-20 10:57 | 短消息 资料
字号: 11楼

回复:手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)

还有Gmer工具不知道能否运行
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-20 11:07 | 短消息 资料
字号: 12楼

回复: 手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)



引用:
原帖由 天月来了 于 2009-1-20 10:57:00 发表
还有Gmer工具不知道能否运行


有个前提:
如果srosa.sys和srosa2.sys都加载成功,估计多数工具都瞎菜。SSDT被完全恢复了。
最后编辑baohe 最后编辑于 2009-01-20 11:08:52
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-01-20 11:10 | 短消息 资料
字号: 13楼

回复:手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)



如果这类东西多整进木马群里

估计大家都得去找些冷门工具用了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-20 11:21 | 短消息 资料
字号: 14楼

回复: 手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)



引用:
原帖由 天月来了 于 2009-1-20 11:10:00 发表


如果这类东西多整进木马群里

估计大家都得去找些冷门工具用了


话说回来:这两个病毒驱动加载时,大多数工具均报告并提示用户。
最终结果-------完全取决于用户如何回应。
用户若及时阻止这两个驱动加载,此毒也就是个一般的下载器而已。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-01-20 11:28 | 短消息 资料
字号: 15楼

回复:手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)

刚才想起来了

这毒折腾过

一旦全面运行

就得到处找工具了

好象还感染不少文件似的
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-20 11:42 | 短消息 资料
字号: 16楼

回复: 手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)



引用:
原帖由 天月来了 于 2009-1-20 11:28:00 发表
刚才想起来了

这毒折腾过

一旦全面运行

就得到处找工具了

好象还感染不少文件似的


此毒完整运行后,按开机加载运行的先后顺序,逐一查找相关程序,找到后-----用病毒文件本身替换之

有些防火墙程序(如:amon.exe)被替换后,下次启动时-----反复兰屏。遇到这种情形,只有通过整盘备份恢复系统
gototop
 
最硬的石头
头像
版主
  • 帖子:4140
  • 注册: 2008-07-24
  • 来自:
论坛8周年活动礼物冰激凌09欢乐圣诞
发表于: 2009-01-20 21:20 | 只看楼主 短消息 资料
字号: 17楼

回复 5F baohe 的帖子

用了什么手段?猫叔
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-21 09:53 | 短消息 资料
字号: 18楼

回复: 手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)



引用:
原帖由 最硬的石头 于 2009-1-20 21:20:00 发表
用了什么手段?猫叔  


第三次运行此毒前,以前定义的“软件限制策略”漏删了一个。结果,就出了5楼所示的效果。

 附件: 您所在的用户组无法下载或查看附件拦截这个srosa2.sys,是中招用户的最后一个反击机会。
最后编辑baohe 最后编辑于 2009-01-21 09:54:42
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT