查看: 6608|回复: 20
收起左侧

[已解决] 影子系统被穿的原因?

 关闭 [复制链接]
一介草民
发表于 2008-4-9 12:38:51 | 显示全部楼层 |阅读模式
本帖最后由 107 于 2010.9.15 00:01 编辑

最早从杂志上看到影子系统的时候顿时惊为天人,病毒的亡灵天灾到来了。 可是好景不长,机器狗出来,直接把影子咬破了,我一直不明白,这到底是什么原理? 2007版的是因为修改系统文件能穿透影子那就算了,可是2008版本出来官方不是说内核已改,一切修改系统文件的方法都不会影响到影子,这下我觉得看来影子真是强了 ,可没多久,可爱的机器狗卷土重来,再次把影子弄出了个洞 这又是什么原因
shery0000
发表于 2008-4-9 12:46:07 | 显示全部楼层
去样本区下载个样本到虚拟机监控一下就知道病毒干什么了

占楼观看
SONGBOWEN
发表于 2008-4-9 14:28:05 | 显示全部楼层
一般情况下,Load Driver => Shadow被穿透
ssyknuwyg
发表于 2008-4-9 15:53:20 | 显示全部楼层
因为穿还原的方法N多,今天这不行了那明天换种,总能整死你
x2AK47
头像被屏蔽
发表于 2008-4-9 16:39:23 | 显示全部楼层
那不是装影子不如装EQ


偶就是想方便用SD替代EQ


看来要小心啰
SONGBOWEN
发表于 2008-4-9 17:57:36 | 显示全部楼层

回复 5楼 x2AK47 的帖子

用影子,可以把HIPS的规则简化到只拦截加载驱动、底层磁盘写操作和直接操作系统内核这三项上,其他的一概忽略就可以了,如果还需要防盗号木马,可以再拦截一下全局钩子和修改其他程序内存。
tedrick
发表于 2008-4-9 18:00:35 | 显示全部楼层

回复 6楼 SONGBOWEN 的帖子

说得太好了。。。
对了,推荐用冰封吧,PS给LENOVO OEM的
spiha
头像被屏蔽
发表于 2008-4-9 18:02:39 | 显示全部楼层
原帖由 ssyknuwyg 于 2008-4-9 15:53 发表
因为穿还原的方法N多,今天这不行了那明天换种,总能整死你


是嘛...?

你舉出10種出來看看 包括貼上源代碼
tedrick
发表于 2008-4-9 18:09:18 | 显示全部楼层

回复 8楼 spiha 的帖子

那他一定就是驱动大牛了
SONGBOWEN
发表于 2008-4-9 18:33:25 | 显示全部楼层
原帖由 spiha 于 2008-4-9 18:02 发表


是嘛...?

你舉出10種出來看看 包括貼上源代碼


他不一定有办法,但是总会有人,有办法的……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:29 , Processed in 0.121816 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表