楼主: s7964926
收起左侧

[已解决] 【火爆主题】现在有病毒能过影子系统2008吗?‖原理及方案‖

 关闭 [复制链接]
hj5abc
发表于 2008-1-31 15:22:02 | 显示全部楼层

回复 9楼 cici584522 的帖子

修改时间对影子无用呀 ...
cici584522
发表于 2008-1-31 15:23:46 | 显示全部楼层
原帖由 hj5abc 于 2008-1-31 15:22 发表
修改时间对影子无用呀 ...

你自己把影子开全盘保护。。然后运行瓢虫。。。重起后看看你的时间是否变成2030年
s7964926
 楼主| 发表于 2008-1-31 15:23:49 | 显示全部楼层
原帖由 hj5abc 于 2008-1-31 15:22 发表
修改时间对影子无用呀 ...


同意!
s7964926
 楼主| 发表于 2008-1-31 15:25:06 | 显示全部楼层
原帖由 gankeyu 于 2008-1-31 15:15 发表
影子系统是用的Snpshot.sys挂底层的IFSHOOK,这个东西即使影子卸载也不会消失..直接咨询driverdevlope上面的反IFSHook (貌似是IoGetDriverObject 啥的)或者直接恢复Snpshot.sys的hook,绕过影子..


好       深       奥,       听       不       懂                     

不过似乎很恐怖。。。
现在病毒有用这个技术的吗????
s7964926
 楼主| 发表于 2008-1-31 15:26:05 | 显示全部楼层
原帖由 cici584522 于 2008-1-31 15:23 发表

你自己把影子开全盘保护。。然后运行瓢虫。。。重起后看看你的时间是否变成2030年



但是对买了影子的是无效
cici584522
发表于 2008-1-31 15:26:10 | 显示全部楼层
原帖由 s7964926 于 2008-1-31 15:25 发表


好       深       奥,       听       不       懂                     

不过似乎很恐怖。。。
现在病毒有用这个技术的吗????


机器狗刚出来的时候就穿影子。。。。

说明影子并能能达到绝对安全
cici584522
发表于 2008-1-31 15:26:49 | 显示全部楼层
原帖由 s7964926 于 2008-1-31 15:26 发表



但是对买了影子的是无效的


还是穿了呀。。至少还是改了。。
hj5abc
发表于 2008-1-31 15:27:32 | 显示全部楼层
原帖由 cici584522 于 2008-1-31 15:23 发表

你自己把影子开全盘保护。。然后运行瓢虫。。。重起后看看你的时间是否变成2030年

系统时间是bios的 重改过来就是了
s7964926
 楼主| 发表于 2008-1-31 15:28:34 | 显示全部楼层
原帖由 cici584522 于 2008-1-31 15:26 发表


机器狗刚出来的时候就穿影子。。。。

说明影子并能能达到绝对安全



现在已经能免疫了
IllusionWing
发表于 2008-1-31 15:29:25 | 显示全部楼层

回复 14楼 s7964926 的帖子

流氓大王3721就是用的IFSHOOK。。。不过360不是有个AntiIce(或AntiBreaker?)技术吗。那个就是绕过IFSHOOK的,不过可能新的影子不用IFSHOOK了,而挂钩更底层的函数..不过只要在Windows下能运行,就一定能破
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-2 01:59 , Processed in 0.105728 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表