ESET SysInspector 独立版与集成版区别？【8-8:自更新反隐藏模块，32位版】

bbszy

翼风Fly 发表于 2015-8-1 12:50
Thanks~
说的是这个吧：
http://bbs.kafan.cn/thread-1838906-1-1.html

pchunter能发现呀。。。但是win10下废了，我还没找到替代品

翼风Fly

bbszy 发表于 2015-8-1 13:09
pchunter能发现呀。。。但是win10下废了，我还没找到替代品

给我的感觉，Hunter能检测出主体，残余就不好说了。。。当然能做到这些也足够

话说官方论坛都没多少人活跃了
去年说Win10正式后会支持。。。。看来还需要等些时日

无垠穹宇

翼风Fly 发表于 2015-8-1 11:31
感谢回复

1、遇到以下问题：

独立版在exe中，安装版直接调用安装目录中的em0xx.dat
我不会修改独立版的exe，只能提取了安装版的给你

翼风Fly

无垠穹宇 发表于 2015-8-1 16:45
独立版在exe中，安装版直接调用安装目录中的em0xx.dat
我不会修改独立版的exe，只能提取了安装版的给你[ ...

膜拜ing。。。

可否赐教提取方式？
我用PC Hunter看过线程、内存等选项，完全没有头绪

一直以为em0xx.dat只是病毒库。。。

无垠穹宇

翼风Fly 发表于 2015-8-1 18:12
膜拜ing。。。

可否赐教提取方式？

其实我使用排除法排除出来的
那些em0xx.dat都是eset“关于”里的模块文件，解包独立版也能看到有000，006，009这三个文件，但是有数字签名，无法修改，所以只能把安装版中的提取出来了

翼风Fly

无垠穹宇 发表于 2015-8-1 21:00
其实我使用排除法排除出来的
那些em0xx.dat都是eset“关于”里的模块文件，解包独立版也能看到有0 ...

Soga....
但是仍然感觉挺奇怪

沙箱运行后释放资源列表，与Resource Hacker显示资源对比：

RC数据	实际名称(有一定的猜测成分)	解释
EM000_32	em000_32.dat	16进制代码中，版本显示为1033.看来是更新模块
EM006_32	em006_32.dat	16进制代码中，版本显示为1048.看来是反隐藏模块
EM009_32	em009_32.dat	沙箱中未找到，不知如何触发。16进制代码中，版本显示为1246.看来是SysInspector模块
ESI_EULA	esi-eula.rtf	许可协议文档
ESI_HELP	SysInspector.chm	触发 帮助 后生成。默认不生成。
HOST_DRV	esihdrv.sys	匹配16进制代码后确认最终文件名，属性可知原名称为ehdrv.sys，ESET Helper driver。在ESET 8中目录位置为 \Drivers\ehdrv\中以及 %windir%\system32\drivers 中

翼风Fly

@ExitProces

虽然你现在没时间

要不以后把你的那个也加一个筛选?

翼风Fly

抽了一点时间搞个自制版：

32位，反隐藏更新至1080(20150717)，模块来自于EAV 8 em006_32.dat







可能作用不大，仅做记录

不知道反隐藏模块在此能起到什么作用，以及此次更新是否有效

因实机为32位且受制于数字签名，64位就不改了。。。

白露为霜

bbszy 发表于 2015-8-1 12:23
就拿ZA这个比较高级的rootkit来说吧，运行后依然能发现的有卡巴 诺顿 咖啡 趋势 大蜘蛛，你去翻翻样本区 ...

不知道AVG怎么样
感觉是可以的

ExitProces

翼风Fly 发表于 2015-8-6 21:32
@ExitProces

虽然你现在没时间

我已经脱离这个圈子很久了，所以说至于你在说什么我完全听不懂

@翼风Fly 和我一起打CF，BC?

[:01:] 别想歪了，是CodeForces和BestCoder