XueTr教程----如何安全卸载进程模块(以磁碟机病毒为例)

Deker

郁闷，刚写的文章发布不成功，居然没了，这里随便写下了。


XueTr下载贴：http://bbs.kafan.cn/thread-384301-1-1.html


磁碟机病毒下载贴：http://bbs.kafan.cn/viewthread.php?tid=365919&extra=&page=1



运行磁碟机病毒，1分钟后，运行XueTr，提示有线程注入到XueTr了，对这种提示您一定要小心了，您的系统可能有问题了，如下图：



点是干掉这个线程，磁碟机病毒会往每个进程里注入dnsq.dll模块，要安全卸载这个模块，初步需要注意两点：
1.这个模块是否启动线程
2.这个模块是否挂钩子

磁碟机病毒模块很明显会启动线程(暂时称为”注入“线程)，你要把它结束掉，或者把这些注入的线程暂停了，由于磁碟机病毒会在自己线程被结束后，重启一个线程，因此这里选择暂停这些线程，下图显示了所有注入的XueTr的线程(另外一个常识就是：XueTr工具一般只有一个线程，而且你每次看线程的时候，线程状态为”正在运行“的那个线程就是XueTr的工作线程，其它的线程都可以干掉)：（由于我不太清楚磁碟机病毒的线程注入原理，因此对这种线程注入不知道咋防）



暂停这些线程，然后扫描XueTr的钩子(钩子---->应用层钩子，我可以很自豪的说，XueTr目前提供了比较强大的应用层钩子检测能力)，扫描结果见下图：




很明显磁碟机病毒挂了OpenProcess和EnumProcessModules两个函数，右键恢复它们俩，

OK，现在您可以去安全的卸载注入到XueTr中的dnsq.dll了，见下图：




到此为止，dnsq.dll已经被安全的卸载，XueTr的各项功能不受影响。卸载其它进程里的模块，大致过程也是这样的。

另：XueTr新版已经具备一定的容错能力，您即使不恢复那两个钩子，程序也不会崩溃了，只是进程部分功能不好使。

backway

沙发  赶快占
看不到图呢。

[ 本帖最后由 backway 于 2009-2-16 13:06 编辑 ]

米格

这个要支持学习一下

Deker

我晕 我不知道咋把图插到中间啊

backway

先把文章写在帖子里，然后把相关的图片以附件的形式上传。
编辑帖子，找到帖子下方的附件信息，点击aid栏目所对应的数字，论坛会自动把附件的内容以[attach]xx[/attach]的形式插入到当前光标所在的位置。

光标放到要插入图片的地方，点下面附件信息旁的插入就行了。

[ 本帖最后由 backway 于 2009-2-16 13:19 编辑 ]

Deker

谢谢楼上 搞定

sgsrun

强帖前排占座。学习了。有用的到的地方。

曲中求

支持楼主的好帖，等泡泡来加分~~~

[ 本帖最后由 曲中求 于 2009-2-16 13:42 编辑 ]

1e3e

谢谢分享

dl123100

对付磁碟机，其实强制删除文件后阻止文件生成或者DOS删除就可以了，拿XueTr对付磁碟机有点杀鸡用牛刀的感觉了。