我知道一个软件可能可以破坏影子

显示全部楼层 · 发表于 2007-7-29 00:14:34

我知道一个软件可能可以破坏影子

这个工具破影子我也是在虚拟机中运行过,
不管是单一模式还是完全模式都可以破影子
但是没在自己正式机子上运行过……
运行"硬盘加逻辑锁"按钮就可以拉

哪位有结果了,通知一声啊……

显示全部楼层 · 发表于 2007-7-29 00:17:43

&#30452 : Not detected by Sandbox (Signature: NO_VIRUS)

[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS

[ General information ]
* File might be compressed.
* Decompressing ASPack.
* Accesses executable file from resource section.
* File length: 12288 bytes.
* MD5 hash: 936d1cc0f1d2362a1cda55f01349d679.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\system32\drivers\Ring0.sys.
* Deletes file C:\WINDOWS\system32\drivers\Ring0.sys.

[ Changes to registry ]
* Creates key "HKLM\System\CurrentControlSet\Services\Ring0".
* Sets value "ImagePath"="C:\WINDOWS\system32\drivers\Ring0.sys" in
key "HKLM\System\CurrentControlSet\Services\Ring0".
* Sets value "DisplayName"="Ring0" in key
"HKLM\System\CurrentControlSet\Services\Ring0".

[ Process/window information ]
* Creates service "Ring0 (Ring0)" as
"C:\WINDOWS\system32\drivers\Ring0.sys".

(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information
source only.

This file is not flagged as malicious by the Norman Sandbox Information
Center. However, we can not guarantee that the file is harmless. If
you still suspect the file to be malicious and if you urgently need to
know for sure, please submit it to your local Norman support department
for manual analysis.

显示全部楼层 · 发表于 2007-7-29 00:25:17

扫描结果 : 4%的杀软(1/25)报告发现病毒
扫描完成时间 : 2007/07/29 00:23:20
软件名称引擎版本病毒库版本病毒库时间扫描结果扫描完成时间
a-squared 3.0.0.123 2007.07.27 2007-07-27 没有检测到病毒 4.507
Arcavir 1.0.4 200707271951 2007-07-27 没有检测到病毒 1.13
AVAST 1.0.8 000761-2 2007-07-27 没有检测到病毒 1.54
AVG 7.5.47.442 269.10.20/919 2007-07-26 没有检测到病毒 1.245
BitDefender 7.60825.702407 7.14075 2007-07-29 没有检测到病毒 2.497
CA (VET) 8.4.0.24 31.1.5010 2007-07-27 没有检测到病毒 0.815
ClamAV 0.91.1 3795 2007-07-28 没有检测到病毒 0.042
ewido 4.0.0.2 2007.07.25 2007-07-25 没有检测到病毒 2.106
F-SECURE 5.51.6100 2007.07.27.06 2007-07-27 没有检测到病毒 2.311
IKARUS T3.1.1.12 2007.07.28.69276 2007-07-28 没有检测到病毒 1.457
MKS_VIR 2.01 2007.07.28 2007-07-28 没有检测到病毒 1.837
NOD32 2.70.7 2426 2007-07-27 没有检测到病毒 1.409
SOPHOS 542132 542132 2007-07-28 没有检测到病毒 2.53
VBA32 3.12.2.1 20070727.0733 2007-07-27 没有检测到病毒 0.745
VirusBuster 4.3.19:9 9.092.2/11.0 2007-07-28 没有检测到病毒 1.743
冰岛杀毒 3.16.15 2007.07.27 2007-07-27 没有检测到病毒 0.458
卡巴斯基 5.5.10 2007.07.28 2007-07-28 没有检测到病毒 0.036
大蜘蛛 4.33 2007.07.28 2007-07-28 没有检测到病毒 4.627
小红伞 7.4.0.50 6.39.0.195 2007-07-28 没有检测到病毒 2.118
熊猫卫士 9.00.00 2007.07.28 2007-07-28 没有检测到病毒 3.963
诺曼 5.90.37 5.90 2007-07-27 没有检测到病毒 2.972
赛门铁克 1.3.0.24 20070728.005 2007-07-28 没有检测到病毒 0.567
趋势 8.500-1001 4.621.00 2007-07-27 没有检测到病毒 0.043
迈克菲 5.1.00 5085 2007-07-27 没有检测到病毒 0.746
金山毒霸 2007.6.20.249 2007.7.28 2007-07-28 Win32.Hack.RestoreCard.a.13824 1.147

只有金山发现病毒,

显示全部楼层 · 发表于 2007-7-29 00:26:01

谁用HIPS在分析一下行为
sandbox分析的不全

显示全部楼层 · 发表于 2007-7-29 00:26:26

这不是病毒

显示全部楼层 · 发表于 2007-7-29 00:27:41

当然这个不是病毒, 你可以放心的打开,只是不要乱点里面的东西

显示全部楼层 · 发表于 2007-7-29 01:55:01

没下载，但看样子是磁盘底层操作

影子是基于Windows的，磁盘底层操作直接操作物理磁盘不依赖于Windows，自然不是影子的管辖范围，这个不能说是突破影子

可以用IceSword的一个插件FileReg，它就不依赖于Windows，开着影子的情况下新建一个文件用这个插件就绝对看不到，因为影子的环境下没有真正写数据，插件读取的是真实的磁盘数据

[ 本帖最后由 pluto1313 于 2007-7-29 02:02 编辑 ]

显示全部楼层 · 发表于 2007-7-29 01:57:16

不算病毒的范畴吧

显示全部楼层 · 发表于 2007-7-29 02:03:48

所以，你要“突破”影子用IceSword的那个插进就可以了

显示全部楼层 · 发表于 2007-7-29 02:06:01

hips也不能分析过来的只能做到它访问底层存储那一步（有的还做不来），之后这个程序就为所欲为了

我知道一个软件可能可以破坏影子

本帖子中包含更多资源

回复 #3 sb 的帖子

回复 #5 woai_jolin 的帖子

浏览过的版块