遭遇protector.exe,知道了什么叫无形,有人知道是怎么实现的么?
又是无聊的一天,上头突然来电让去查xxx,防火墙显示总连着一美国网站。
去了一看瑞星还是绿的,netstat一下真就开了个端口连着一个ip,开始autorun,System Repair Engineer,HijackThis什么也没有发现,夜路走多终见鬼,开了autorun显示数字签名,怀疑是有sys搞鬼,仔细查了一遍,没有可疑的东西。难道非要装ssm或防火墙,想起还有IceSword,打开直接奔端口,咣当重起,再来打开进程一看有个碍眼的protector.exe,没见过记下路径,杀死,去路径找,翻了好几遍,又一次见鬼没有,用IceSword文件一看有,删除不行,重起安全模式下发现,剪切到桌面新建个文件夹,重起正常模式下,打开一看倒空的,用IceSword一看明明有文件,用rar打包,打开一看没装进去,有问题,再次开了autorun查到sys部分,发现一个ntio256.sys,名称和签名都是空,刚才检查的时候没有,删除,到路径一看还有几个相同时间的文件,一起切走,重起检查,正常了。再看
protector.exe出现了,估计是两个文件互相保护。拷到我机器上两个文件都被杀掉,在那台机器上就是不杀,哪位高手给分析一下。
