12345678   1  /  8  页   跳转

鸽子的“屁股”摸不得?

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 16:57 | 只看楼主 短消息 资料
字号: 1楼

鸽子的“屁股”摸不得?



1、这是一只带驱动的新鸽子。
其驱动程序aoob.sys是个“幽灵”驱动——SSM能监控到它的释放、也能监控到它写入的服务项,但重启系统后却怎么也找不到它!
想办法堵截住了这个幽灵,并将其由临时文件夹中拖拽到桌面上(图1),立即重启系统。
傻了!系统连续3次蓝屏重启!!
看来这个aoob.sys是鸽子的屁股——摸不得!

附件附件:

下载次数:515
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-16 16:57:28
描述:
预览信息:EXIF信息



最后编辑2006-09-26 17:22:34
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 16:58 | 只看楼主 短消息 资料
字号: 2楼

2、三次蓝屏重启重启后,终于能进系统了。
看看进程列表。NND!摸了它的屁股,果然是要付出代价的(图2)!!

附件附件:

下载次数:706
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-16 16:58:05
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 16:58 | 只看楼主 短消息 资料
字号: 3楼

3、索性关闭所有安全软件,再次重启,看看它到底有多厉害。

再次重启后,SREng日志显示————连Tiny的进程都没幸免:

服务
[winlogon server / winlogon server]
  <c:\windows\system\winlogon><N/A>
进程
[PID: 1696][C:\Program Files\Tiny Firewall Pro\UmxAgent.exe]  <Computer Associates International, Inc.><6.0.1.76>
    [C:\windows\TEMP\9ojhp8r.dll]  <N/A><N/A>
[PID: 1712][C:\Program Files\Tiny Firewall Pro\UmxTray.exe]  <Computer Associates International, Inc.><6.5.1.59>
    [c:\windows\system\winlKey.DLL]  <N/A><N/A>
    [C:\windows\TEMP\9ojhp8r.dll]  <N/A><N/A>
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\9ojhp8r.dll]  <N/A><N/A>
[PID: 1816][C:\windows\System32\Ati2evxx.exe]  <N/A><N/A>
    [c:\windows\system\winlKey.DLL]  <N/A><N/A>
    [C:\windows\TEMP\9ojhp8r.dll]  <N/A><N/A>
[PID: 2000][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE]  <Microsoft Corporation><7.00.9466>
    [c:\windows\system\winlKey.DLL]  <N/A><N/A>
    [C:\windows\TEMP\9ojhp8r.dll]  <N/A><N/A>
    [C:\windows\system32\UmxSbxw.dll]  <Computer Associates International, Inc.><6.0.1.58>
[PID: 688][C:\windows\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [c:\windows\system\winlKey.DLL]  <N/A><N/A>
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\9ojhp8r.dll]  <N/A><N/A>
[PID: 1036][C:\Program Files\Common Files\PFShared\umxlu.exe]  <Tiny Software, Inc.><6.0.1.15>
    [c:\windows\system\winlogon]  <N/A><N/A>
    [C:\windows\TEMP\e2.dll]  <N/A><N/A>
[PID: 1800][C:\windows\system32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\9ojhp8r.dll]  <N/A><N/A>
    [c:\windows\system\winlKey.DLL]  <N/A><N/A>
[PID: 2072][C:\Program Files\Tiny Firewall Pro\amon.exe]  <Computer Associates International, Inc.><6.5.3.2>
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\9ojhp8r.dll]  <N/A><N/A>
    [c:\windows\system\winlKey.DLL]  <N/A><N/A>
[PID: 2168][C:\Program Files\Internet Download Manager\IDMan.exe]  <Internet Download Manager Corp., Tonec Inc. ><5, 0, 0, 0>
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\9ojhp8r.dll]  <N/A><N/A>
    [c:\windows\system\winlKey.DLL]  <N/A><N/A>
[PID: 2024][C:\Documents and Settings\baohelin\桌面\SREng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\9ojhp8r.dll]  <N/A><N/A>
    [c:\windows\system\winlKey.DLL]  <N/A><N/A>
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 16:59 | 只看楼主 短消息 资料
字号: 4楼

4、打开SSM,SSM的进程被插(图3)。

附件附件:

下载次数:585
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-16 16:59:22
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 16:59 | 只看楼主 短消息 资料
字号: 5楼

5、打开IceSword,IceSword的进程同样被插(图4)。鸽子!算你NB!!

附件附件:

下载次数:489
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-16 16:59:49
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 17:00 | 只看楼主 短消息 资料
字号: 6楼

6、看谁笑到最后——禁止鸽子的服务(图5)

附件附件:

下载次数:575
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-16 17:00:19
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 17:00 | 只看楼主 短消息 资料
字号: 7楼

7、看谁笑到最后——禁止鸽子那个幽灵驱动.sys加载(图6)。

附件附件:

下载次数:673
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-16 17:00:52
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 17:01 | 只看楼主 短消息 资料
字号: 8楼

8、看谁笑到最后——禁止鸽子的.dll加载(图7)。

附件附件:

下载次数:557
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-16 17:01:25
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 17:01 | 只看楼主 短消息 资料
字号: 9楼

9、看谁笑到最后——禁止鸽子.exe加载(图8)。

附件附件:

下载次数:625
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-16 17:01:53
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-16 17:02 | 只看楼主 短消息 资料
字号: 10楼

10、将SSM设置成“自动运行”。重启系统(图9)。

附件附件:

下载次数:704
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-16 17:02:23
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
12345678   1  /  8  页   跳转
页面顶部
Powered by Discuz!NT