XueTr教程----如何安全卸载进程模块(以磁碟机病毒为例)

Deker

郁闷，刚写的文章发布不成功，居然没了，这里随便写下了。


XueTr下载贴：http://bbs.kafan.cn/thread-384301-1-1.html


磁碟机病毒下载贴：http://bbs.kafan.cn/viewthread.php?tid=365919&extra=&page=1



运行磁碟机病毒，1分钟后，运行XueTr，提示有线程注入到XueTr了，对这种提示您一定要小心了，您的系统可能有问题了，如下图：



点是干掉这个线程，磁碟机病毒会往每个进程里注入dnsq.dll模块，要安全卸载这个模块，初步需要注意两点：
1.这个模块是否启动线程
2.这个模块是否挂钩子

磁碟机病毒模块很明显会启动线程(暂时称为”注入“线程)，你要把它结束掉，或者把这些注入的线程暂停了，由于磁碟机病毒会在自己线程被结束后，重启一个线程，因此这里选择暂停这些线程，下图显示了所有注入的XueTr的线程(另外一个常识就是：XueTr工具一般只有一个线程，而且你每次看线程的时候，线程状态为”正在运行“的那个线程就是XueTr的工作线程，其它的线程都可以干掉)：（由于我不太清楚磁碟机病毒的线程注入原理，因此对这种线程注入不知道咋防）



暂停这些线程，然后扫描XueTr的钩子(钩子---->应用层钩子，我可以很自豪的说，XueTr目前提供了比较强大的应用层钩子检测能力)，扫描结果见下图：




很明显磁碟机病毒挂了OpenProcess和EnumProcessModules两个函数，右键恢复它们俩，

OK，现在您可以去安全的卸载注入到XueTr中的dnsq.dll了，见下图：




到此为止，dnsq.dll已经被安全的卸载，XueTr的各项功能不受影响。卸载其它进程里的模块，大致过程也是这样的。

另：XueTr新版已经具备一定的容错能力，您即使不恢复那两个钩子，程序也不会崩溃了，只是进程部分功能不好使。

backway

沙发  赶快占
看不到图呢。

[ 本帖最后由 backway 于 2009-2-16 13:06 编辑 ]

米格

这个要支持学习一下

Deker

我晕 我不知道咋把图插到中间啊

backway

先把文章写在帖子里，然后把相关的图片以附件的形式上传。
编辑帖子，找到帖子下方的附件信息，点击aid栏目所对应的数字，论坛会自动把附件的内容以[attach]xx[/attach]的形式插入到当前光标所在的位置。

光标放到要插入图片的地方，点下面附件信息旁的插入就行了。

[ 本帖最后由 backway 于 2009-2-16 13:19 编辑 ]

Deker

谢谢楼上 搞定

sgsrun

强帖前排占座。学习了。有用的到的地方。

曲中求

支持楼主的好帖，等泡泡来加分~~~

[ 本帖最后由 曲中求 于 2009-2-16 13:42 编辑 ]

1e3e

谢谢分享

dl123100

对付磁碟机，其实强制删除文件后阻止文件生成或者DOS删除就可以了，拿XueTr对付磁碟机有点杀鸡用牛刀的感觉了。

小静电

原帖由 dl123100 于 2009-2-16 13:43 发表
对付磁碟机，其实强制删除文件后阻止文件生成或者DOS删除就可以了，拿XueTr对付磁碟机有点杀鸡用牛刀的感觉了。

磁碟机刚出来的时候，如何知道它挂钩那个文件在哪？冰刃、syscheck根本就打不开。

另外：xue tr 能运行，是不是只是因为磁碟机不认识它，所以才没有阻止他的运行呢?

Deker

原帖由 小静电 于 2009-2-16 14:29 发表


磁碟机刚出来的时候，如何知道它挂钩那个文件在哪？冰刃、syscheck根本就打不开。

另外：xue tr 能运行，是不是只是因为磁碟机不认识它，所以才没有阻止他的运行呢?

呵呵  XueTr能运行  应该很大程度归功于它不认识XueTr,XueTr是新出来的工具

我也不太知道 磁碟机用什么方法来阻止这些安全工具运行的 

但是 我可以透露一个XueTr的使用方法：

如果遇到不能运行的情况，把程序改名，这个时候 ，XueTr的主窗口标题 要加载驱动名都会 变成这个程序名

另外 XueTr 内部 有两个驱动程序   这两个驱动有细微差别， 在驱动加载失败的时候  会使用第二个驱动  这也是为了对抗一些病毒

当然  有很多办法可以让XueTr不能运行

[ 本帖最后由 Deker 于 2009-2-16 14:38 编辑 ]

Deker

好像磁碟机 是查找窗口  向安全工具的窗口发送消息  来阻止这些安全工具启动的

这个 对XueTr无效， XueTr对这种攻击已经具备一些防御能力

下次如果更新的话，这种防御能力可能还会更强

dl123100

这个前几天天琊和XueTr时也发现了。

dl123100

磁碟机的message flood攻击国内的几大杀软都能防了，现在看起来也比较简单了。

小静电

原帖由 Deker 于 2009-2-16 14:36 发表


呵呵  XueTr能运行  应该很大程度归功于它不认识XueTr,XueTr是新出来的工具

我也不太知道 磁碟机用什么方法来阻止这些安全工具运行的

但是 我可以透露一个XueTr的使用方法：

如果遇到不 ...

谢谢你的解答，这下明白了。

Deker

不过 病毒如果真的要 利用窗口 来攻击程序 很难防
现在  大家都防的是一些已经有病毒利用的技术

有窗口句柄  有很多方法可以攻击窗口

angel13th

猛然发现居然有了教程～支持一下～
提示有线程注入真是一个不错的功能，所以以前比起icesword，更喜欢rku，现在xuetr也有这个功能啦～赞～

水木

呵呵，磁碟机已经是过去的历史了！不论病毒还是杀软或一些辅助工具都是在不停地较量，也不可能有一款能100%抵御所有病毒并保护自身不被终结的，同样没有一款100%干掉所有杀软和辅助工具的病毒，就像我们现在对付病毒的方法：影子、沙盘、HIPS等！
这个工具个人认为不错，试用过一段时间没出现蓝屏及其它不稳定的现象，这对于作者来说真的是很不容易，版区鼓励这种软件对于此类辅助软件大力的赞扬

Deker

原帖由 水木 于 2009-2-16 18:53 发表
呵呵，磁碟机已经是过去的历史了！不论病毒还是杀软或一些辅助工具都是在不停地较量，也不可能有一款能100%抵御所有病毒并保护自身不被终结的，同样没有一款100%干掉所有杀软和辅助工具的病毒，就像我们现在对付病毒 ...

我也不敢说使用XueTr不会蓝屏，目前看，返回反馈蓝屏的不多，
由于水平有限，再加上精力有限（我测试的也不是很充分），我只能说使用XueTr出现蓝屏是必须的，只是你还没遇到。。。。水木版主很幸运啊，
不过，我这里也没蓝屏过 ，呵呵