一个不错的截图软件

ZeroHex

打开了只看见是个和QQ一样的截图程序，只不过加载了驱动，还在任务管理器里隐藏了自己进程。

2007-12-23 02:51:07        应用程序保护(运行应用程序)     操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\sudami.exe

2007-12-23 02:51:13        文件保护(创建文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:15        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:17        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:18        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:19        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:20        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:21        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:22        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:23        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:24        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:25        文件保护(修改文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\sudami.ini

2007-12-23 02:51:26        文件保护(创建文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\WINDOWS\system32\sudami.dll

2007-12-23 02:51:27        应用程序保护(安装全局钩子)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\WINDOWS\system32\sudami.dll

2007-12-23 02:51:33        文件保护(创建文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\WINDOWS\system32\Drivers\sudami.sys

2007-12-23 02:51:40        应用程序保护(安装服务或者驱动)     操作:允许
进程路径:C:\sudami.exe
文件路径:system32\DRIVERS\sudami.sys

2007-12-23 02:51:43        应用程序保护(加载驱动程序)     操作:允许
进程路径:C:\sudami.exe
驱动名称:sudami

2007-12-23 02:51:53        注册表保护(删除注册表)     操作:允许
进程路径:C:\sudami.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:sudami

退出：

2007-12-23 02:55:23        应用程序保护(安装服务或者驱动)     操作:允许
进程路径:C:\sudami.exe
文件路径:system32\DRIVERS\sudami.sys

2007-12-23 02:55:24        文件保护(删除文件)     操作:允许
进程路径:C:\sudami.exe
文件路径:C:\WINDOWS\system32\drivers\sudami.sys

Nblock

原帖由 ZeroHex 于 2007-12-23 03:44 发表
打开了只看见是个和QQ一样的截图程序，只不过加载了驱动，还在任务管理器里隐藏了自己进程。

2007-12-23 02:51:07        应用程序保护(运行应用程序)     操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\su ...

这个正常截图软件有很多病毒行为

msystudio

KV挂。

挪威的冬天

直接运行后导致 explorer 出错崩溃 TASKMGR 也是 exe 都是 ...

貌似驱动不是很严谨的样子... 又或者故意为之？

重启后倒还是比较正常的...

gho

完了运行了FS未报

906mbc

EAV没报啊

sudami

我说你们呐。。。

偶这个小程序是以前学习rootkit时候为了方便测试而加进去的呀。木有任何破坏行为的。

偶在kanxue 和EST发帖子时候已经都说清楚了的呀~

Nblock

原帖由 sudami 于 2008-1-15 11:23 发表
我说你们呐。。。

偶这个小程序是以前学习rootkit时候为了方便测试而加进去的呀。木有任何破坏行为的。

偶在kanxue 和EST发帖子时候已经都说清楚了的呀~

没错 正常软件。

alauco

小红伞没有报警...

sbkenshin

看来不错！  谢谢分享～