瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】强烈怀疑IceSword加载错误驱动可能是新版SSM所致!

12   1  /  2  页   跳转

【原创】强烈怀疑IceSword加载错误驱动可能是新版SSM所致!

收藏
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-14 12:35 | 只看楼主 短消息 资料
字号: 1楼

【原创】强烈怀疑IceSword加载错误驱动可能是新版SSM所致!

接我的帖子:
http://forum.ikaka.com/topic.asp?board=28&artid=8209333


今天开机,IS仍然无法加载正确驱动,无奈之下将新版SSM597关闭,结果IS果然正确加载!见图1:

附件附件:

下载次数:327
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-14 12:35:13
描述:
预览信息:EXIF信息



最后编辑2006-11-17 13:25:42
分享到:
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-14 12:38 | 只看楼主 短消息 资料
字号: 2楼

另外发现,那个错误的驱动与正确的驱动ispub120.sys是同一个文件。只不过换了名字而已

附件附件:

下载次数:307
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-14 12:38:17
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-14 12:39 | 只看楼主 短消息 资料
字号: 3楼

但是,如果在SSM的规则中删除Isdrv120.sys的规则,IS可正常加载!
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-11-15 14:55 | 短消息 资料
字号: 4楼


Icesword在加载过驱动后会自动删除自已的驱动,现在不知是看不到了~,还是因为我设置的问题~

另,在SSM中也已经看不到禁止加载驱动的选项了~~运行ICesword一次后,好像就不需要再加载这个驱动了~?
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-16 12:37 | 只看楼主 短消息 资料
字号: 5楼

只要加载成功一次,SSM便在重启之前再也无法控制isdrv120.sys,即使你阻止了它,它也可以加载
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-16 12:42 | 只看楼主 短消息 资料
字号: 6楼

好像阻止驱动只有正式版才提供
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-16 14:40 | 短消息 资料
字号: 7楼

引用:
【闪电风暴的贴子】接我的帖子:
http://forum.ikaka.com/topic.asp?board=28&artid=8209333


今天开机,IS仍然无法加载正确驱动,无奈之下将新版SSM597关闭,结果IS果然正确加载!见图1:

………………

中了FuckJacks且未删除病毒文件之前,用SSM看IceSword的两个.sys的MD5,确实看不出差异(其实,只有那个IsDrv120.sys是IceSword自己的)。

附件附件:

下载次数:309
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-16 14:40:15
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-16 14:42 | 短消息 资料
字号: 8楼

但是,如果你允许那个假的.sys加载,IceSword确实可以启动,但这个“IceSword”有明显的恶意行为。

附件附件:

下载次数:285
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-16 14:42:04
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-16 14:47 | 短消息 资料
字号: 9楼

此外,我在运行FuckJacks之前,将SSM文件夹中的所有文件用Tiny保护起来。
运行FuckJacks后,SSM的用户界面不会断开(如果没有Tiny的这项保护,SSM虽然处于运行状态,但其用户界面已经被FuckJacks断开)。
带毒运行IceSword并允许那个假冒的.sys加载后,IceSword的窗口是可以保留了;但是SSM的用户界面即刻被断开。当你试图再次开启SSM用户界面时——开启后立即被关闭。
只有结束这个带假冒.sys的IceSword进程后,SSM的用户界面才能开启。
gototop
 
AngelPray
头像
健康舞勺狮
  • 帖子:371
  • 注册: 2006-08-02
  • 来自:
发表于: 2006-11-16 14:49 | 短消息 资料
字号: 10楼

学习
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT