123   1  /  3  页   跳转

【实例】用SSM对付狡猾木马

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-25 17:59 | 显示全部 短消息 资料
字号: 1楼

【实例】用SSM对付狡猾木马

常常见到因中毒后“杀不净”而前来求助的帖子。其中原因各式各样。常见的有:
(1)病毒进程不可见或无法结束;
(2)结束病毒进程后,病毒文件依然无法完全删除(插入了正常系统进程)。
(3)病毒添加的启动项无法删除,或删除后立即恢复(病毒/木马有注册表监控能力)。
今天,得到了一个木马样本,有些典型意义。现将其拿来解剖。以展示如何使用SSM杀死这类狡猾的木马。
这只木马运行后,其dll文件插入explorer.exe(资源管理器)进程(图1)。这是一种常见的把戏,颇另新手头痛!
只要你不关闭资源管理器,或用其它恰当手段卸除插入explorer.exe的lenveo.dll(木马的库文件),你就别想删除这个lenveo.dll!
结束explorer.exe?那你就对着一个空荡荡的桌面发傻吧!什么也做不了。

附件附件:

下载次数:346
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-25 17:59:51
描述:
预览信息:EXIF信息



最后编辑2007-04-09 18:08:10
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-25 18:00 | 显示全部 短消息 资料
字号: 2楼

此外,这个木马还有注册表监控能力。只要你删除它的启动项,它就马上再添加上(图2)!
这些伎俩,足以使新手头大!

附件附件:

下载次数:336
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-25 18:00:23
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-25 18:00 | 显示全部 短消息 资料
字号: 3楼

如果你有SSM,且已经将其设置为“自动运行”,那么,这只“狡猾”的木马就不再那么难缠。
操作流程:
1、在SSM的规则中禁止lenveo.exe加载(图3)。

附件附件:

下载次数:382
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-25 18:00:56
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-25 18:01 | 显示全部 短消息 资料
字号: 4楼

2、在SSM的规则中禁止lenveo.dll加载(图4)。

附件附件:

下载次数:347
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-25 18:01:24
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-25 18:02 | 显示全部 短消息 资料
字号: 5楼

3、重启系统。

4、收拾残局(图5)。


5、清理注册表。

附件附件:

下载次数:349
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-25 18:02:00
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-25 18:17 | 显示全部 短消息 资料
字号: 6楼

引用:
【现在进行时的贴子】关闭explorer.exe用icesword删除lenveo.dll和lenveo.exe不行吗?
………………

当然可以。
但新手用IceSword,有时会搞出乱子,有时会自己吓唬自己。总之,IceSword不适合新手用。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-25 19:53 | 显示全部 短消息 资料
字号: 7楼

引用:
【122211231的贴子】LZ给个SSM的下载地址吧
………………

http://www.syssafety.com/files.html
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-25 20:28 | 显示全部 短消息 资料
字号: 8楼

引用:
【闪电风暴的贴子】这个木马已经不是盲目地,每秒写一个启动项了..

试验:用IceSword删除启动项,连SSM都觉察不出来.
………………

SSM并非监控整个注册表。比如,你想让SSM监控HKEY_CLASS_ROOT\CLSID,当删除CLSID中的任意一个键值时,SSM提示用户。那么你可以自己添加一条这样的规则(图)。

附件附件:

下载次数:316
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-25 20:28:27
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-25 20:29 | 显示全部 短消息 资料
字号: 9楼

引用:   
【闪电风暴的贴子】这个木马已经不是盲目地,每秒写一个启动项了..

试验:用IceSword删除启动项,连SSM都觉察不出来.

检验该规则的效果——

附件附件:

下载次数:274
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-25 20:29:34
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-26 15:23 | 显示全部 短消息 资料
字号: 10楼

引用:
【applechen的贴子】最新版SSM是不是有BUG,还是SSM提升了破解能力了,最近老出问题
1:ICESWORD无法打开,提示初始化失败
2:QQGAME可以登陆,但没法打开客户端
3:有个别网页没法打开和登陆,如:AVL.COM电影网页
关闭了SSM后打开以上程序,再开SSM所有问题解决,就算关闭了那些程序再开也不会提示初始化失败,不知何解?
更令人讨厌的是,有时进受限制用户登陆后不显示桌面,只有资源管理器可以用,和我初装SSM时的情况一样,但用资源管理器重启后再次登陆这个受限制用户时却可以正常使用了,这个是不是和过期再次提升使用期限的操作有关?
………………

SSM与ICESWORD的问题:
有这个问题,但不是普遍现象。
我的本本,XPSP2系统,与你的问题一模一样。
我的台式电脑,XPSP2系统,没任何问题。这两个软件都很好用。
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT