穿SD 275病毒穿PS影子系统2008正式版测试（84楼更新测试 ）

一刀大师

请移虎步到84楼：http://bbs.kafan.cn/thread-363022-9-4.html

（11月8日，在三楼新增FAT32格式下，PS2008防穿测试）

（这是我的个例，与他人的测试结果不同，具体原因不明，说明文字见87楼以下）

样本：永远的瘦瘦昨日所发之贴《唉，确认SD 275被穿透，有样本》中下载样本orz081026.rar

虚拟机：VMware 6.03
虚拟机中系统为雨林木风GHOSTXP SP3装机版9.8，各分区均为NTFS格式。
正版PS影子系统2008 3.4.4.1  MD5:C5C5ED2820865458725A0F7662310FAA
安装激活后，在线检查为最新版本。



影子系统2008进入完全影子模式：



当时系统进程为18个：


解压样本后，运行病毒，系统进程窗口自动消失，再调进程窗口，又是出现不到1秒钟后消失。进程由18个增加到30个左右，不固定，时多时少（需多次调进程窗口，总是很快地关闭。）
重启系统，进入正常模式，调出进程窗口，依然很快自动关闭。经多次努力，终于截得下图。系统进程为26个，多出的进程，大家可以和上图比对。


[ 本帖最后由 一刀大师 于 2008-11-11 20:08 编辑 ]

fufuji97

把启动影子后，系统提示截图来一张，谢谢

一刀大师

（这是我的个例，与他人的测试结果不同，具体原因不明，说明文字见87楼以下）

前面测试，PS影子在NTFS格式下被穿透，今天有空，接着做FAT32格式下，PS防穿测试。测试样本同上。

新建虚拟机，安装电脑公司特别版9.2，各分区均为FAT32格式。


安装并激活PS影子系统2008正式版



进入完全影子



当时系统进程20个



这是解压后的样本



运行病毒，系统进程窗口立马消失。再点“发送Ctrl+Alt+Del"，无法调出进程窗口。
5分钟后重启系统，点“发送Ctrl+Alt+Del"，晕！还是调不出进程窗口。再点，还是晕，没辙了吗？
点金山清理专家，无法启动！点360安全卫士，无法启动！
还好，优化大师可以启动，查系统进程，userinit.exe进程一直不退出。



哈希校验userinit.exe 见下图，

  

下图为原始userinit.exe哈希校验



可以看出，三种校验值均已改变。

拖拽userinit.exe到宿主机，却无法移动，同时宿主机卡巴报警


把userinit.exe压缩，复制到宿主机，卡巴扫描报毒




至此，可以说，PS2008正式版FAT32格式下，依然被穿。

影子与病毒，击穿与反穿，是矛与盾，道与魔的关系。我相信，魔高一尺，道高一丈，病毒只能暂时地猖獗，期待国产优秀影子PowerShadow  再克新魔。                                                                                                                                             

[ 本帖最后由 一刀大师 于 2008-11-11 19:43 编辑 ]

fufuji97

原帖由 一刀大师 于 2008-11-6 19:14 发表
没有什么提示。

没提示你算什么正版，看看这才是。。。，谁给你的？

一刀大师

宋版给的激活码，应该是正版吧？

fufuji97

跟我说别的没用，我跟木头说过，影子启动会替换系统文件，如果没有提示，你的影子有问题

fufuji97

原帖由 一刀大师 于 2008-11-6 19:19 发表
宋版给的激活码，应该是正版吧？

那就是你的系统问题了，宋版测试能穿透，估计也是如此吧，影子没发挥作用，虚拟机跟实机有区别吧，我一向都是实机测

fufuji97

为什么官方说没穿透，人家也是实机测的，当然咱俩说的不是一个样本

一刀大师

我的虚拟机系统是雨林木风9.8安装版，不是原版微软XP，不一定就会如你所说出现那个提示吧？

zdlzp

原帖由 fufuji97 于 2008-11-6 19:20 发表
跟我说别的没用，我跟木头说过，影子启动会替换系统文件，如果没有提示，你的影子有问题

你何不用试用版自己测试下呢?