Shadow Defender最新版1.1.0.331遭病毒破坏！！！

显示全部楼层 · 发表于 2011-6-23 17:10:40

不是吧SD被穿了··

显示全部楼层 · 发表于 2011-6-24 19:23:11

FreeEquFraT 发表于 2011-6-22 21:10
我先抛出一个我个人的观点：
看图这个病毒是修改了MBR的，“i am virus。。。。。”这个是比较明显的，但是 ...

确实是这样。Explorer.exe这个机器狗可能是以SCSI_REQUEST_BLOCK方式穿透还原的，有几个版本的SD采取了暴力重启的策略来防御，如果单独测试绝对是无法写透的。刚才测试了一楼给的样本，发现冰冻精灵也存在这样的问题：同时运行多个样本即被机器狗穿透，但是在360还原保护器和MBRFIX的保护下安然无恙。个人猜想是病毒相互作用和脱钩造成的，导致还原的防御模块被攻破

显示全部楼层 · 发表于 2011-6-24 19:42:35

nazisoft 发表于 2011-6-24 19:23
确实是这样。Explorer.exe这个机器狗可能是以SCSI_REQUEST_BLOCK方式穿透还原的，有几个版本的SD采取了暴 ...

其实我对影子也不是很懂，很多都是看了大侠您的回复才稍微明白了一点点皮毛，感觉还有很多需要向您学习的

显示全部楼层 · 发表于 2011-6-24 20:26:37

FreeEquFraT 发表于 2011-6-24 19:42
其实我对影子也不是很懂，很多都是看了大侠您的回复才稍微明白了一点点皮毛，感觉还有很多需要向您学习的 ...

相互学习

显示全部楼层 · 发表于 2011-6-25 09:44:58

FreeEquFraT 发表于 2011-6-22 21:10
我先抛出一个我个人的观点：
看图这个病毒是修改了MBR的，“i am virus。。。。。”这个是比较明显的，但是 ...

只是我看本区nazisoft大侠的说法是: SD是隔一段时间回写一次

这样不先比较一下就回写，是不是很伤硬盘

显示全部楼层 · 发表于 2011-6-25 09:55:29

nazisoft 发表于 2011-6-24 19:23
确实是这样。Explorer.exe这个机器狗可能是以SCSI_REQUEST_BLOCK方式穿透还原的，有几个版本的SD采取了暴 ...

哎.好久没来咯... 360还原保护器本身就和冰冻一样注重原理防穿. MBRFIX和SD一样..回写的.只不过不相同而已...你这个配合... 测试到现在还没遇到穿透的病毒把? MZ.

显示全部楼层 · 发表于 2011-6-25 12:04:49

本帖最后由 FreeEquFraT 于 2011-6-25 12:05 编辑

快雪时晴发表于 2011-6-25 09:44
这样不先比较一下就回写，是不是很伤硬盘

SD会先比较一下是否有改动再回写的。

显示全部楼层 · 发表于 2011-6-25 14:03:26

showzhan 发表于 2011-6-25 09:55
哎.好久没来咯... 360还原保护器本身就和冰冻一样注重原理防穿. MBRFIX和SD一样..回写的.只不过不相同而 ...

目前流行的通用穿透方法肯定是无效的，这种组合还是非常坚固的。如果以后的机器狗采用直接向磁盘端口发送读写命令的话，肯定是不可避免被写穿的。但是这种方法也是有缺陷的，病毒作者需要考虑到具体的磁盘设备，这样就难以做到通用了。

显示全部楼层 · 发表于 2011-6-28 11:18:54

md的防穿规则，开机依旧

显示全部楼层 · 发表于 2011-6-28 12:21:44

楼主提供的样本很多啊
SD被穿了？
不知道RVS（带有内置HIPS的RVS）是否能够防御？

[BUG] Shadow Defender最新版1.1.0.331遭病毒破坏！！！

评分