微点允许病毒加载驱动后 如何再进行拦截清除

爱·妖姬

我个人观点,也不知道对不对,微点对驱动应该是先拦截的,先拦下来再看它后面的行为,如果后面的行为没有异常,对那驱动是会放行的,如果有异常就报警,如果后面所有的行为都由交给驱动去执行的话,就防不胜防了

黄金马甲出租

一旦驱动驻留内存是卸载不掉的，除非重启计算机，无论杀软还是病毒，进程如果没有驱动保护不过是一块随时可以释放的内存，好好去学习ｗｉｎｄｏｗｓ吧

黄金马甲出租

所以全驱动是可怕的，等于写一个子系统内核，不过全驱动病毒也要通讯

[ 本帖最后由 黄金马甲出租 于 2008-1-3 22:39 编辑 ]

Nblock

原帖由 黄金马甲出租 于 2008-1-3 20:58 发表
驱动＝驱动，只要加载了驱动就是平等权限，但驱动要单一作事情很难，现在还没有见到全驱木马，不过也不确定没有超越内核ｗｉｎｄｏｗｓ头上飞的后门、木马出来，全驱病毒前几天有了吧，那个驱动感染驱动的

   全驱动病毒请发我邮箱 谢谢！！ runtime3我一直绑在硬盘里 没给任何人发过  上次卡饭样本区我发的是另外一个小毒

顺便问问马甲 全驱动病毒hips根本拦截不到吗

黄金马甲出租

hips应该是可以拦截的，不过没准会蓝屏，那样本也是听说，ｒｓ写过一个类似病毒的分析报告，http://hi.baidu.com/litiejun/blo ... 59d97c9e2fb49f.html这里有一个，样本论坛应该有的，就是变种多

ly250094040

类虚拟机技术

http://bbs.kafan.cn/viewthread.php?tid=52022

solcroft

... 所以？

virusman

微点也可以防范某些全驱动病毒，这次微点碰上了对手，一上来就将微点的监控钩子摘掉，监控没了、保护也失效了。微点面临巨大的挑战，现在就看微点的能耐了，解决摘钩子的驱动病毒难度很大哦。要解决这类病毒，这次微点的内核一定改动很大。大家祝福微点吧，希望它能尽快解决。

virusman

原帖由 黄金马甲出租 于 2008-1-3 22:55 发表
hips应该是可以拦截的，不过没准会蓝屏，那样本也是听说，ｒｓ写过一个类似病毒的分析报告，http://hi.baidu.com/litiejun/blo ... 59d97c9e2fb49f.html这里有一个，样本论坛应该有的，就是变种多

加载驱动时，HIPS应该会报，但是如果让它运行，HIPS的监控钩子也会被摘，也会失效哦

黄金马甲出租

ＳＳＤＴ是必须让人家恢复的，不然就太霸道了，