影子系统被穿的原因？

显示全部楼层 · 发表于 2008-4-9 12:38:51

本帖最后由 107 于 2010.9.15 00:01 编辑

最早从杂志上看到影子系统的时候顿时惊为天人，病毒的亡灵天灾到来了。

可是好景不长，机器狗出来，直接把影子咬破了，我一直不明白，这到底是什么原理？

2007版的是因为修改系统文件能穿透影子那就算了，可是2008版本出来官方不是说内核已改，一切修改系统文件的方法都不会影响到影子，这下我觉得看来影子真是强了

，可没多久，可爱的机器狗卷土重来，再次把影子弄出了个洞

这又是什么原因

显示全部楼层 · 发表于 2008-4-9 12:46:07

去样本区下载个样本到虚拟机监控一下就知道病毒干什么了

占楼观看

显示全部楼层 · 发表于 2008-4-9 14:28:05

一般情况下，Load Driver => Shadow被穿透

显示全部楼层 · 发表于 2008-4-9 15:53:20

因为穿还原的方法N多，今天这不行了那明天换种，总能整死你

显示全部楼层 · 发表于 2008-4-9 16:39:23

那不是装影子不如装EQ

偶就是想方便用SD替代EQ

看来要小心啰

显示全部楼层 · 发表于 2008-4-9 17:57:36

用影子，可以把HIPS的规则简化到只拦截加载驱动、底层磁盘写操作和直接操作系统内核这三项上，其他的一概忽略就可以了，如果还需要防盗号木马，可以再拦截一下全局钩子和修改其他程序内存。

显示全部楼层 · 发表于 2008-4-9 18:00:35

说得太好了。。。
对了，推荐用冰封吧，PS给LENOVO OEM的

显示全部楼层 · 发表于 2008-4-9 18:02:39

原帖由 ssyknuwyg 于 2008-4-9 15:53 发表
因为穿还原的方法N多，今天这不行了那明天换种，总能整死你

是嘛...？

你舉出10種出來看看包括貼上源代碼

显示全部楼层 · 发表于 2008-4-9 18:09:18

那他一定就是驱动大牛了

显示全部楼层 · 发表于 2008-4-9 18:33:25

原帖由 spiha 于 2008-4-9 18:02 发表

是嘛...？

你舉出10種出來看看包括貼上源代碼

他不一定有办法，但是总会有人，有办法的……

[已解决] 影子系统被穿的原因？