关于SRENG与内核级木马的问题

hzc43

SRENG运行的时候似乎并不需要加载驱动，那么如果木马挂了系统钩子的话，岂不是SRENG就找不出来了？

是不是所有启动项目无法被钩子隐藏？还是说SRENG用了什么技术避免了木马隐藏？



看了对驱动级保护傀儡进程“rundll32.exe”的盗号木马的病毒分析资料后发现，木马是可以“隐藏注册表启动项“run”中的“HB Kernel”键，防止被用户查看到，防止被用户删除掉”


有些困惑，请大家解答。

[ 本帖最后由 hzc43 于 2008-8-12 00:34 编辑 ]

hzc43

自己顶起来

hzc43

是我没表达清楚还是问题太傻了


再表达清楚点吧
1、SRENG能否查找出内核木马？
2、如果能，那么没有象狙剑冰刃那样加载内核驱动，SRENG凭什么能查找出内核木马？
3、如果不能，那么大家经常上传的SRENG报告是否还有意义？

dl123100

强悍一些采用rootkit技术的程序不仅SREng查不出，IceSword、RKU这样的工具也能过。

现在许多采用rootkit技术的程序发布前基本都会说明，能过IS、Gmer、RKU、DarkSpy。。。

fufuji97

强的木马会保护自己的，你一开工具就kill掉进程，加载驱动就蓝屏

水木

某些强悍的木马的确它还查不出来，但我们每天在正常浏览网页上网的过程中究竟中这种木马的几率有多大？至少我个人没遇到过，单位的机器有过一次非常严重的情况

话又说回来，即使是虚拟机、毛豆、HIPS等等谁也不敢保证绝对100％会安全，否则病毒就失去意义了

hzc43

本来已经对这个帖子不报希望了，没想到还有人看见回答。谢谢各位

不是说SRENG不好，而是稍微质疑一下平时大家上传的日志是否会出现漏报现象。

并且如果出现漏报如何解决是个问题。

我想能够过wsyscheck等内核级的毒理论上似乎只有比他更底层才能绕过检测。不过好像还没有什么能比inlinehook更底层的东西出现啊？所谓的过这些工具是不是只是映像劫持而已？

如果有更底层的东西能不能介绍一下

silverlgx

继续讨论啊

IllusionWing

Sreng通过许多方法实现无驱读取反ROOTKIT，比如SRENG查找进程就是使用的CSRSS.EXE里的进程表

hzc43

这位貌似很强大的样子

能否详细解释一下CSRSS.EXE的读取过程？或者从哪可以了解相关知识？

我看了smallfrog很久前写的一篇文章，文中说SRENG是基于WIN32API的检测工具，不知道无驱检测rootkit是否也只是停留在win32api下。

而我想知道的是基于ssdthook或者是inlinehook的木马能否检测出来
下图是狙剑作者写的一篇文章节选


[ 本帖最后由 hzc43 于 2008-8-22 10:07 编辑 ]