瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 利用IFEO重定向技术判病毒“死缓”

12   1  /  2  页   跳转

利用IFEO重定向技术判病毒“死缓”

收藏
本主题由 大版主 networkedition 于 2012-2-24 13:17:54 执行 移动主题 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:24 | 显示全部 短消息 资料
字号: 1楼

利用IFEO重定向技术判病毒“死缓”



今天拿到了mopery提到的那个“仿威金”样本(http://forum.ikaka.com/topic.asp?board=28&artid=8243649)。

瑞星今天早上的病毒库依然查不出此毒。

鉴于此毒主体文件名已知,可以利用WINDOWS本身的‘IFEO重定向’技术判其“死缓”(见下图)。

附件附件:

下载次数:317
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 11:24:48
描述:
预览信息:EXIF信息



最后编辑2007-01-12 01:33:08
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:26 | 显示全部 短消息 资料
字号: 2楼

这里之所以说是“死缓”,是指:这样处理后,病毒可以进入系统。然而,一旦它(包括各分区根目录下的go.exe)企图运行,便被定向到RavMon.exe(瑞星监控,见下图),病毒程序本身不会运行。等到瑞星将其加入病毒库后,此毒即可被杀死。
当然,用户也可自己动手将病毒文件及其启动项删除。

附件附件:

下载次数:309
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 11:26:38
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:27 | 显示全部 短消息 资料
字号: 3楼

已经实机测试过熊猫烧香的两个变种以及这个“仿威金”(见下图),预防效果满意。对于其它病毒,只要你知道其主体程序文件名(.exe或.dll类),且病毒主体程序不与系统或应用程序同名,也可仿此处理。

附件附件:

下载次数:296
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 11:27:15
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:27 | 显示全部 短消息 资料
字号: 4楼

既然我们可以这样利用IFEO,病毒作者自然也会想到相应的反制措施————上来先搜索用户建立的相关键值,找到后删除之。
因此,用户要采取适当措施,保护自己的IFEO(见下图)。

附件附件:

下载次数:306
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 11:27:57
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 11:35 | 显示全部 短消息 资料
字号: 5楼

引用:
【鸟儿天上飞的贴子】呵呵 大叔又来这招  每个病毒知道主体文件名都在注册表那个键值下添加吗?

………………

是的。定向到哪个程序,也随你便。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 14:28 | 显示全部 短消息 资料
字号: 6楼

引用:
【NSEaman的贴子】瑞星新版本已经可以查杀,不知道你的是否是去年的版本
………………

附件附件:

下载次数:224
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 14:28:30
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 14:29 | 显示全部 短消息 资料
字号: 7楼

引用:
【NSEaman的贴子】瑞星新版本已经可以查杀,不知道你的是否是去年的版本
………………

能不能杀——自己看。

附件附件:

下载次数:226
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 14:29:12
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 15:50 | 显示全部 短消息 资料
字号: 8楼

引用:
【xiaoyueIQ的贴子】18楼的哥哥还真是激动啊!!!!
猫叔肯定也被气坏了啊...
………………

他说的是我楼上的那位。
我说的也是————瑞星目前不能杀这个毒(看图)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 16:04 | 显示全部 短消息 资料
字号: 9楼

引用:
【水树雨下的贴子】这种东西稍微一变种就查不到了
………………

这本来就是个“亡羊补牢”的法子。
尽管是“亡羊补牢”,但管用。
这个办法并非万能。限制条件————主帖中(2楼)已经讲明了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 16:11 | 显示全部 短消息 资料
字号: 10楼

引用:
【終生學習的贴子】版主 我的刚才3:25分也中了,不过跟你的不一样。。。
………………

不知你这张图要说啥?
我给的那张图————注册表内容是用户自己添加的;而不是病毒添加的。病毒不会自己找死。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT