轻松检测魔影病毒（TDSS.TDL-4）By PowerTool

显示全部楼层 · 发表于 2011-7-18 14:50:28

这种病毒对x64系统有效吗？

显示全部楼层 · 发表于 2011-7-18 15:40:18

本帖最后由 dl123100 于 2011-7-18 15:41 编辑

1、TDSS加载的驱动初始化后会返回错误码，然后该驱动会被IO管理器卸载。楼主这里仍然能检测到应该可能是枚举了已卸载的驱动。
2、检测内核模块点击后我这里长期无响应，无法返回结果。
3、强力检测按钮目前不支持AHCI/RAID/SCSI模式应该是像金山鬼影专杀一样用了直接IO获取的MBR。
4、跟踪硬盘读写过程有点像gmer出的那个TDSS专杀的功能，不过试了下，跟踪的结果是错的，应该没有用gmer的方法。即使用gmer的方法，在一些环境也是容易蓝屏的。
5、只枚举到StartIo劫持，只能说明对TDSS的劫持没有理解。

显示全部楼层 · 发表于 2011-7-18 18:52:38

TDSS 支持所有系统，包括WIN7 64 ，不过可能XP64下会挂掉。TDSS对于磁盘的劫持，可谓精心，涵盖了整个栈。建议LZ好好分析下卡巴的清理流程。这样会比较清晰。

显示全部楼层 · 发表于 2011-7-19 09:29:04

darkwolf_99 发表于 2011-7-18 15:50
这种病毒对x64系统有效吗？

这个病毒感染64位系统的。。。

显示全部楼层 · 发表于 2011-7-19 09:29:35

lwy4652 发表于 2011-7-18 15:48
pt 可以直接修复不？

还不能直接修复，
检测出来后可以用专杀工具

显示全部楼层 · 发表于 2011-7-19 09:30:41

FreeEquFraT 发表于 2011-7-18 13:37
恩，越来越强大了
-------------------------------------------------------------
刚刚发现楼主帖 ...

确实，我是在日文系统上面截图的，呵呵

显示全部楼层 · 发表于 2011-7-19 09:32:52

dl123100 发表于 2011-7-18 16:40
1、TDSS加载的驱动初始化后会返回错误码，然后该驱动会被IO管理器卸载。楼主这里仍然能检测到应该可能是枚举 ...

继续加深对TDSS的理解，多谢dl的指点，呵呵

显示全部楼层 · 发表于 2011-7-19 09:34:24

wowocock 发表于 2011-7-18 19:52
TDSS 支持所有系统，包括WIN7 64 ，不过可能XP64下会挂掉。TDSS对于磁盘的劫持，可谓精心，涵盖了整个栈 ...

我抛砖引玉，引来神牛了，呵呵

是不是说pt的那个跟踪硬盘读写
的结果不正确呢？

显示全部楼层 · 发表于 2011-7-19 12:42:09

这让我只能说，很强...

显示全部楼层 · 发表于 2011-7-22 20:09:33

杯具了昨天打不开帖子今天图片XX

[原创文章] 轻松检测魔影病毒（TDSS.TDL-4）By PowerTool

浏览过的版块