【老毒穿新還原軟體】

nazisoft

andyto202 发表于 2011-7-27 14:35
謝謝您的回答
但是RVS本身有主動防禦
我在開啟的時候

这个机器狗病毒比较奇怪，它加载一个驱动HOOK.sys并不是用于穿还原，真正穿透还原是在Ring3下无驱动实现的。本人用傲盾还原拦截了驱动加载，依然被穿透。所以仅仅拦截驱动是不够的，还要拦截底层磁盘操作，因为它在用户模式下即可达成攻击

毛豆小新

nazisoft 发表于 2011-7-27 16:13
这个机器狗病毒比较奇怪，它加载一个驱动HOOK.sys并不是用于穿还原，真正穿透还原是在Ring3下无驱动实现的 ...

听起来貌似很牛逼啊

nazisoft

毛豆小新 发表于 2011-7-27 16:29
听起来貌似很牛逼啊

这个病毒是针对现代还原系统的，冰冻精灵、还原保护只拦截了IDE\ATA\SCSI PASS THROUGH指令请求，对底层磁盘操作没有完全过滤或者拦截，导致了ring3下的穿透。远志还原精灵（北软）、还原卡对底层磁盘操作有过滤（ 对PASS THROUGH没有过滤），所以不会被该病毒写透。好在该病毒只是试探性的演示穿透，没有横行多久就消失了

darkwolf_99

rvs的防透能力本身就弱，众人皆知的秘密

种过一豆

影子类还是要配合权限控制安全系数比较高，哪天不小心玩毒被穿就不好玩了

andyto202

nazisoft 发表于 2011-7-27 17:09
这个病毒是针对现代还原系统的，冰冻精灵、还原保护只拦截了IDE\ATA\SCSI PASS THROUGH指令请求，对底层 ...

nazisoft兄
可以問個題外話嗎
就是中了鬼影
可以感覺到明顯的症狀是什麼
目前不是出到鬼影3了嗎
中了cs.exe=>開機彈出小視窗
中了蓮花=>文件會被改掉
中了小浩=>日期改變、檔案圖示改變、視窗左上角名稱改變
那中了鬼影1、鬼影2、鬼影3呢

mvcneo

估计只能依靠UAC之类的权限来限制下了。RVS本来就不行，广告做的好没有用~

sayhi1984

nazisoft 发表于 2011-7-27 10:45
测试了一下，穿透的是Explorer.exe这个文件，开机弹一个对话框。冰点、RVS和冰冻精灵开启了绿鹰还原保护器和 ...

医生全部都测试了啊，冰点能穿，而还原卡不穿，真是匪夷所思呐...

nazisoft

sayhi1984 发表于 2011-7-28 10:02
医生全部都测试了啊，冰点能穿，而还原卡不穿，真是匪夷所思呐...

因为现在的还原软件对底层磁盘操作未做过滤或者没有拦截，有些影子系统连DiskGenius修改MBR都不防御。像辛巴影子对无驱的穿透做得就非常彻底，应用层的程序是无法直接访问磁盘的

nazisoft

andyto202 发表于 2011-7-27 23:00
nazisoft兄
可以問個題外話嗎
就是中了鬼影

通常感染鬼影以后主要症状就是杀软打不开，用GHOST重装系统无法清除病毒，偶尔出现开机蓝屏。最严重的情况就是主引导记录被破坏而导致无法启动操作系统。鬼影主要寄生于引导扇区和保留扇区，有的还把代码写入硬盘末空间，实际上引导型病毒在DOS时代就有了。目前的魔影病毒直接用sector editor、Winhex是无法检测到的，因为它对自身进行了保护，用Diskgen、BOOTICE、PTDD分区表医生也是无法清除的。原先的鬼影一代用Diskgen在Windows下就能清除。平时要注意备份好主引导记录和分区表，一旦被病毒破坏，可以用光盘、U盘、移动硬盘启动进行恢复。