用xt 杀tdss.tdl4

显示全部楼层 · 发表于 2011-9-13 10:08:58

我知道了，附加扇区填零。
MBR恢复后不填病毒也废了

显示全部楼层 · 发表于 2011-9-13 10:19:38

目前ARK有个趋势：功能太多，太专业化，不适合一般人，智能化不够，可以考虑开放接口，提高易用性。

显示全部楼层 · 发表于 2011-9-13 12:19:07

本帖最后由 dl123100 于 2011-9-13 12:19 编辑

ithurricane 发表于 2011-9-13 09:20
终于还是把dl牛的逻辑加上了丫，

XT太强大了，已经无语了。。。

没加现在的某些环境还有一些问题
加了更新说明里就会提到了

显示全部楼层 · 发表于 2011-9-13 21:27:53

Disk也可以来个截图！
增强了MBR，恭喜一下！

显示全部楼层 · 发表于 2011-9-14 10:14:23

检测方面还不够完善，比如对 CELL ROUTINUE的检测和恢复，还有比如内核线程的处理，可以不走系统的，随便挂的第3方程序的的内核线程，WORKITEM,DPC==,也就是说对第3方驱动的检测还不够，以后病毒木马可以完全不动系统的，而从第3方驱动下手。这也是个趋势。还有不要局限于代码段的检测。类似的数据指针，可被劫持的地方还有很多，需要不断的完善。还有对硬件相关的比如主板BIOS,显卡BIOS等的检测。基于VMX 技术的检测，都没有跟上。期待中。。。。。。

显示全部楼层 · 发表于 2011-9-14 11:34:27

wowocock 发表于 2011-9-14 10:14
检测方面还不够完善，比如对 CELL ROUTINUE的检测和恢复，还有比如内核线程的处理，可以不走系统的，随便挂 ...

大牛回复，膜拜。

显示全部楼层 · 发表于 2011-9-14 14:44:52

本帖最后由 dl123100 于 2011-9-14 14:47 编辑

wowocock 发表于 2011-9-14 10:14
检测方面还不够完善，比如对 CELL ROUTINUE的检测和恢复，还有比如内核线程的处理，可以不走系统的，随便挂 ...

GetCellRoutine现在很多地方已经有检测和恢复。
挂第三方程序的内核线程、WorkItem、DPC，不是很理解，类似之前某个过XueTr的rootkit一样在别人的WorkItem里执行自己的代码？
劫持数据指针，目前遇到的不多，有些遇到的已经想办法绕了。
主板BIOS对Award和AMI或许可以检测下，其它不太现实。
基于vmx技术的检测，linxer对这些还不熟悉。学习不深，对利用vmx怎么解决memory remapping的问题还没找到完整的解决方法。

显示全部楼层 · 发表于 2011-9-14 14:50:41

膜拜大牛

[经验分享] 用xt 杀tdss.tdl4

评分