简介Avira AntiRootkit Tool

backway

本来打算昨晚写这个东西，但后来觉得我测试的这个结果有点囧，样本也给几个朋友试过了，应该和当前运行环境有关。测试的结果有点不一样。后来一个朋友叫我看份狙剑日志，一看才蒙了，几十个未知驱动（百度Google都空白）。就想或许将要介绍的这个工具可以派上用场。所以就将就写下。
这个工具就是小红伞的一个AntiRookit工具。

点击Avira AntiRootkit Tool下载。

官网介绍：

Avira AntiRootkit Tool
Avira AntiVir Rootkit Protection recognizes active rootkits. However, there also exist rootskits, which are used legally in programs. Avira AntiVir Rootkit Protection also detects those. Please note that using reported rootkits is at your own risk and it can cause program errors. Avira AntiRootkit Tool works on Windows 2000, Windows XP and Vista (32 bit).

Translate：Avira AntiRootkit Tool能够识别出处于活动状态以及潜在于正常程序中的rootkits。请注意使用报告中的rootkits需要您风险自负，它能会导致程序出错。应用平台：Win2000，Win XP以及Vista（32位）。

PS：说明中的 "rootskits”应该属于拼写错误，应为"rootkits".


下载完毕解压安装，由于纯E文，把安装过程记录下来了，照着就能安装完成：




安装完成后，默然只在开始菜单中创建快捷方式。可以自己在桌面创建快捷方式。
运行之，会弹出警告：



Translate：请注意本工具可以用来检测隐藏对象。它仅能检测处于活动状态的rootkits而不能检测出隐藏于文件中的非活动状态rootkits。碰到这种情况您可以使用Avira AntiVir on-demand scanner。
另外请注意部分商业产品会有意隐藏它们的资源对象。并不是所有具有隐藏对象的软件都是恶意软件。

PS：Avira AntiVir on-demand scanner是在命令行中扫描的工具。http://www.avira.com/en/support/support_downloads.html有相关信息。有兴趣的话可以研究下，然后发一水帖。

直接点确定。之后界面：




下面做个试验，看看她的功效。

运行baby.exe：

创建文件：   
进程路径:C:\Documents and Settings\Administrator\桌面\baby.exe
文件路径:C:\WINDOWS\System32\drivers\frljuiwo.sys


加载驱动程序：
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\System32\drivers\frljuiwo.sys

运行应用程序 ：
进程路径:C:\Documents and Settings\Administrator\桌面\baby.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Sys1.tmp.cmd" "C:\Documents and Settings\Administrator\桌面\baby.exe""

Sys1.tmp.cmd中的内容：

@echo off
:Redo
del /f /q %1
if exist %1 goto Redo
del /f /q %0
exit

现在是我们已经知道了创建了驱动frljuiwo.sys。现在用XueTr查看这个文件并校验其数字签名：







看到了吧，可以通过数字签名。另外其创建于修改文件日期为2004-08-17.
这里请不要误解XueTr的数字签名有问题。接下来的比较长的“引用”只是为了不要让大家对XueTr的数字签名验证功能有所质疑。

继续看微软的sigverif对drivers下文件进行签名验证：

********************************

Microsoft 签名验证

在 2009-4-12 上生成了日志文件，时间为 13:37
操作系统平台: Windows 2000 (x86), Version: 5.1, Build: 2600, CSDVersion: Service Pack 2
扫描结果: 文件总数: 192，已签名的: 191，没有签名的: 1，没有扫描的: 0

用户指定的搜索路径: *.*
用户指定的搜索模式: C:\WINDOWS\system32\drivers

文件 修改时间 版本 状态 编录 签名人
------------------ ------------ ----------- ------------ ----------- -------------------
[c:\windows\system32\drivers]
acpi.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
acpiec.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
aec.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
afd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
agp440.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
amdk6.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
amdk7.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
arp1394.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
asyncmac.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
atapi.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
atmarpc.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
atmepvc.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
atmlane.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
atmuni.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
audstub.sys 2001-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
avipbb.sys 2007-3-22 无 已签名 N/A Avira GmbH
battc.sys 2001-8-31 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
beep.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
bridge.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
cbidf2k.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
cdaudio.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
cdfs.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
cdrom.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
cinemst2.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
classpnp.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
cmbatt.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
compbatt.sys 2001-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
cpqdap01.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
crusoe.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
disk.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
diskdump.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
dmboot.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
dmio.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
dmload.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
dmusic.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
drmk.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
drmkaud.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
dxapi.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
dxg.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
dxgthk.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
eqsyssecure.sys 2008-12-5 2008.12.5.30 没有签名 N/A
es1371mp.sys 2001-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
fastfat.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
fdc.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
fips.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
flpydisk.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
fltmgr.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
fsvga.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
fs_rec.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ftdisk.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
gameenum.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
gm.dls 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
gmreadme.txt 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
hidclass.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
hidparse.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
hidusb.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
http.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
i8042prt.sys 2004-8-16 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
imapi.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
intelide.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
intelppm.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ip6fw.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ipfltdrv.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ipinip.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ipnat.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ipsec.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
irenum.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
isapnp.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
kbdclass.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
kmixer.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ks.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ksecdd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mcd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mf.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mnmdd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
modem.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mouclass.sys 2004-8-16 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mouhid.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mountmgr.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mqac.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
mrxdav.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mrxsmb.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
msfs.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
msgpc.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mskssrv.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mspclock.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mspqm.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mssmbios.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
mup.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ndis.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ndistapi.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ndisuio.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ndiswan.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ndproxy.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
netbios.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
netbt.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
nic1394.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
nikedrv.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
nmnt.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
npfs.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ntfs.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
null.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
nwlnkflt.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
nwlnkfwd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
nwlnkipx.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
nwlnknb.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
nwlnkspx.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
nwrdr.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
oprghdlr.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
p3.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
parport.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
partmgr.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
parvdm.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
pci.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
pciidex.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
pcmcia.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
pcntpci5.sys 2001-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
portcls.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
processr.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
psched.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ptilink.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rasacd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rasl2tp.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
raspppoe.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
raspptp.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
raspti.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rawwan.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rdbss.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rdpcdd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rdpdr.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rdpwd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
redbook.sys 2004-8-16 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rio8drv.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
riodrv.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
rmcast.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rndismp.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
rootmdm.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
scsiport.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
sdbus.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
secdrv.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
serenum.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
serial.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
sffdisk.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
sffp_sd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
sfloppy.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
smclib.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
sonydcam.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
splitter.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
sr.sys 2004-8-17 2:5.1 已签名 NT5INF.CAT Microsoft Windows Publisher
srv.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ssmdrv.sys 2007-3-5 无 已签名 N/A Avira GmbH
stream.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
swenum.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
swmidi.sys 2001-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
sysaudio.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
tape.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
tcpip.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
tcpip6.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
tdi.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
tdpipe.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
tdtcp.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
termdd.sys 2004-8-16 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
tosdvd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
tsbvcap.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
tunmp.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
udfs.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
update.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usb8023.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usbcamd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usbcamd2.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usbccgp.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usbd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usbehci.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usbhub.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usbintel.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usbport.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
usbuhci.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
vdmindvd.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
vga.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
videoprt.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
vmci.sys 2008-10-28 2:5.00,2:5.1,2:5.2,2已签名 oem7.CAT Microsoft Windows Hardware Compatibility Publisher
vmdebug.sys 2008-10-28 无 已签名 N/A VMware, Inc.
vmhgfs.sys 2008-10-28 无 已签名 N/A VMware, Inc.
vmmouse.sys 2008-10-28 2:5.00,2:5.1,2:5.2,2已签名 oem3.CAT Microsoft Windows Hardware Compatibility Publisher
vmscsi.sys 2008-10-29 2:5.00,2:5.1 已签名 oem6.CAT Microsoft Windows Hardware Compatibility Publisher
vmxnet.sys 2008-10-28 2:5.00,2:5.1,2:5.2 已签名 oem4.CAT Microsoft Windows Hardware Compatibility Publisher
vmx_svga.sys 2008-10-28 2:5.00,2:5.1,2:5.2,2已签名 oem0.CAT Microsoft Windows Hardware Compatibility Publisher
volsnap.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
wanarp.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
wdmaud.sys 2004-8-3 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
wmilib.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher
ws2ifsl.sys 2004-8-17 2:5.1 已签名 NT5.CAT Microsoft Windows Publisher

[ 本帖最后由 backway 于 2009-4-12 18:59 编辑 ]

backway

继续用SREng的数字签名验证插件：

FileDigitalSignVerify for System Repair Engineer
Copyright (C) 2007 Smallfrogs
KZTechs.COM - www.KZTechs.com
状态 签名者 文件路径
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\acpi.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\acpiec.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\aec.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\afd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\AGP440.SYS
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\amdk6.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\amdk7.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\arp1394.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\asyncmac.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\atapi.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\atmarpc.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\atmepvc.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\atmlane.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\atmuni.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\audstub.sys
0x00000000 Avira GmbH C:\WINDOWS\system32\drivers\avipbb.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\battc.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\beep.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\bridge.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\cbidf2k.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\cdaudio.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\cdfs.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\cdrom.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\cinemst2.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\classpnp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\CmBatt.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\compbatt.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\cpqdap01.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\crusoe.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\disk.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\diskdump.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\dmboot.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\dmio.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\dmload.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\DMusic.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\drmk.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\drmkaud.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\dxapi.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\dxg.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\dxgthk.sys
0x800b0100 - C:\WINDOWS\system32\drivers\EQSysSecure.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\es1371mp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\fastfat.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\fdc.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\fips.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\flpydisk.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\fltMgr.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\fsvga.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\fs_rec.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ftdisk.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\gameenum.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\hidclass.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\hidparse.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\hidusb.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\http.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\i8042prt.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\imapi.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\intelide.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\intelppm.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ip6fw.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ipfltdrv.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ipinip.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ipnat.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ipsec.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\irenum.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\isapnp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\kbdclass.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\kmixer.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ks.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ksecdd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mcd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mf.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mnmdd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\modem.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mouclass.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mouhid.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mountmgr.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mqac.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mrxdav.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mrxsmb.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\msfs.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\msgpc.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\MSKSSRV.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\MSPCLOCK.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\MSPQM.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mssmbios.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\mup.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ndis.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ndistapi.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ndisuio.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ndiswan.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ndproxy.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\netbios.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\netbt.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\nic1394.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\nikedrv.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\nmnt.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\npfs.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ntfs.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\null.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\nwlnkflt.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\nwlnkfwd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\nwlnkipx.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\nwlnknb.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\nwlnkspx.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\nwrdr.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\oprghdlr.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\p3.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\parport.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\partmgr.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\parvdm.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\pci.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\pciidex.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\pcmcia.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\pcntpci5.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\portcls.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\processr.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\psched.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ptilink.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rasacd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rasl2tp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\raspppoe.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\raspptp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\raspti.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rawwan.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rdbss.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rdpcdd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rdpdr.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rdpwd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\redbook.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rio8drv.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\riodrv.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\RMCast.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rndismp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\rootmdm.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\scsiport.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\sdbus.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\secdrv.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\serenum.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\serial.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\sffdisk.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\sffp_sd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\sfloppy.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\smclib.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\sonydcam.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\splitter.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\sr.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\srv.sys
0x00000000 Avira GmbH C:\WINDOWS\system32\drivers\ssmdrv.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\stream.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\swenum.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\swmidi.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\sysaudio.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\tape.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\tcpip.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\tcpip6.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\tdi.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\tdpipe.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\tdtcp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\termdd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\tosdvd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\tsbvcap.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\tunmp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\udfs.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\update.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usb8023.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usbcamd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usbcamd2.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usbccgp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usbd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usbehci.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usbhub.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usbintel.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usbport.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\usbuhci.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\vdmindvd.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\vga.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\videoprt.sys
0x00000000 Microsoft Windows Hardware Compatibility Publisher C:\WINDOWS\system32\drivers\vmci.sys
0x00000000 VMware, Inc. C:\WINDOWS\system32\drivers\vmdebug.sys
0x00000000 VMware, Inc. C:\WINDOWS\system32\drivers\vmhgfs.sys
0x00000000 Microsoft Windows Hardware Compatibility Publisher C:\WINDOWS\system32\drivers\vmmouse.sys
0x00000000 Microsoft Windows Hardware Compatibility Publisher C:\WINDOWS\system32\drivers\vmscsi.sys
0x00000000 Microsoft Windows Hardware Compatibility Publisher C:\WINDOWS\system32\drivers\vmxnet.sys
0x00000000 Microsoft Windows Hardware Compatibility Publisher C:\WINDOWS\system32\drivers\vmx_svga.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\volsnap.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\wanarp.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\wdmaud.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\wmilib.sys
0x00000000 Microsoft Windows Publisher C:\WINDOWS\system32\drivers\ws2ifsl.sys

对于上面2个分析报告，您可以按Ctrl+F，搜索frljuiwo.sys，看什么情况。根本看不到。同样，该文件是无法在windows资源管理器中看到。winrar也看不到。

再用专业数字签名验证工具分析（因为该工具支持将文件拖拽到其窗口，如果浏览加入drivers文件夹的话扫描结果会和上面的一样）：
用火流星找到该文件，常规功能复制出来后。校验该文件：

文件: C:\Documents and Settings\Administrator\桌面\frljuiw.sys
大小: 574592 字节
文件版本: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
修改时间: 2004年8月17日, 20:00:00
MD5: B78BE402C3F63DD55521F73876951CDD
SHA1: C353C331A3D3D986822D7A2BAD5DBD3B9E5B7DCC
CRC32: 0E0576BE

对其签名验证：



用 火流星的底层功能复制出该文件，校验：

文件: C:\Documents and Settings\Administrator\桌面\test\frljuiw.sys
大小: 56832 字节
修改时间: 2009年4月12日, 14:53:48
MD5: 3F2E765A260C7E75C0D183D3407A25F1
SHA1: 4AF6897AABF12ED019178EEDAA09DE3489849B82
CRC32: 94A7B19C

对其签名验证：




这时再用XueTr对这2个文件签名验证，得到的结果和上面2个一样。

这中间举这个多例子，只是怕大家对XueTr的数字签名功能怀疑。澄清一下。

既然这么难搞定这个驱动文件，一般情况下是发觉不到它的存在的。SREng更派不上用场。

下面就转入正题，用Avira AntiRootkit Tool扫描。之前对主界面上的功能已经解释了。建议使用默然的那些勾选。扫描时间与当前系统体积成正比（非标准 y=kx线性形式）。我实机上的系统用这个工具扫描用了15分钟左右。
结果如下：



看到了吧，用本工具轻轻松松的扫描出了这个驱动文件。

可以对文件右键选择功能：



选择Details，查看详细信息：



选择“Copy item to clipboad"可以复制文件路径到剪切板。
"Quarantine"和"Quarantine all"和主界面左边的那两项功能一样，对文件进行隔离。

隔离的文件：



[ 本帖最后由 backway 于 2009-4-12 18:57 编辑 ]

backway

我们还可以使用日志导出功能。点击主界面“View report”就可以查看，日志保存在程序安装目录下。

日志：

Avira AntiRootkit Tool - Beta (1.0.1.17)
========================================================================================================
- Scan started 2009年4月12日 - 15:05:55
========================================================================================================
--------------------------------------------------------------------------------------------------------
   Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 9.99 GB
- Working disk free size : 7.54 GB (75 %)
--------------------------------------------------------------------------------------------------------
Results:
Hidden file : c:\windows\system32\drivers\frljuiwo.sys
--------------------------------------------------------------------------------------------------------
Files: 1/11531
Registry items: 0/104207
Processes: 0/25
Scan time: 00:02:24
--------------------------------------------------------------------------------------------------------
Active processes:
  - tzkkgrmm.exe     (PID 924) (Avira AntiRootkit Tool - Beta)
  - System           (PID 4)
  - smss.exe         (PID 564)
  - csrss.exe        (PID 612)
  - winlogon.exe     (PID 636)
  - services.exe     (PID 680)
  - lsass.exe        (PID 692)
  - vmacthlp.exe     (PID 848)
  - svchost.exe      (PID 860)
  - svchost.exe      (PID 964)
  - svchost.exe      (PID 1056)
  - svchost.exe      (PID 1156)
  - svchost.exe      (PID 1376)
  - explorer.exe     (PID 1400)
  - spoolsv.exe      (PID 1568)
  - VMwareTray.exe   (PID 1660)
  - VMwareUser.exe   (PID 1668)
  - ctfmon.exe       (PID 1700)
  - VMwareService.exe (PID 616)
  - alg.exe          (PID 152)
  - wuauclt.exe      (PID 1748)
  - HprSnap6.exe     (PID 1724)
  - WinMD5!Œh.exe    (PID 240)
  - notepad.exe      (PID 468)
  - avirarkd.exe     (PID 1508)
========================================================================================================
- Scan finished  2009年4月12日 - 15:08:20
========================================================================================================

又如http://bbs.kafan.cn/viewthread.php?tid=425638&highlight=5%C4%EA这里的情况，用本工具同样可以轻松的扫描出恶意驱动。


到此基本介绍完了。
只是希望大家知道有这么一款比较好的AntiRootkit工具，在系统异常但又用一般软件无法发现问题的情况下可以试试。

不严谨的地方敬请批评指教。

[ 本帖最后由 backway 于 2009-4-12 18:58 编辑 ]

backway

唉，衣带渐宽终不悔，为伊消得人憔悴。。。一境界也。。。

yumiao0160

好长 前排观看

lixiang1977

有没有绿色版？
中毒以后再装很麻烦啊！

12314226

太强大了，看得我晕了～～

smallyou93

实用，之前在avira的官网看到过，本来想试试的.

在石头那群吧。。

Beloved

太长了，没看完

PS：楼主的gifgifgif 可不可以共享下

yumiao0160

那个签名让俺想到了伪造数字签名添加器，看来数字签名体系还有不少值得改进的地方