楼主: Deker
收起左侧

[原创工具] PC Hunter V1.56 [2019-01-31] 发布,支持Win10(17763)

  [复制链接]
dl123100
发表于 2009-3-16 15:45:00 | 显示全部楼层
原帖由 xixi0000 于 2009-3-16 15:26 发表
红伞的HOOK怎么显示未知模块 而且不可定位   如图:
发现冰刃也这个样子
486439

红伞驱动将hook的code放入nonpaged pool,所以检测不了路径(陈辉大侠提过)。这种手段rootkit常用。
乘风
发表于 2009-3-16 15:52:21 | 显示全部楼层
原帖由 Deker 于 2009-3-16 12:08 发表
对狙剑用 强制删除  应该可以删除

感谢楼主解答,不过没能删除,一刷新又出来了。不一会又蓝屏了。重启后换了一个新的狙剑好了。



现在有一个问题:每次打开XueTr都“嘣”的一声弹出一个窗口
23.jpg

无论点“是”点“否”,下次打开还是出现这个。右键点XueTr.exe查看进程线程:
5.jpg
是搜狗拼音,

哪位高手帮忙解决一下怎么才能去掉打开XueTr时弹出的那个窗口?
Deker
 楼主| 发表于 2009-3-16 16:29:13 | 显示全部楼层
原帖由 乘风 于 2009-3-16 15:52 发表

感谢楼主解答,不过没能删除,一刷新又出来了。不一会又蓝屏了。重启后换了一个新的狙剑好了。



现在有一个问题:每次打开XueTr都“嘣”的一声弹出一个窗口
486486

无论点“是”点“否”,下次打开还是出 ...



目前XueTr就是这么写的  如果你要不检测这个的话  自己patch XueTr好了

.text:00411306
.text:0041130B 83 C4 08                          add     esp, 8
.text:0041130E 8B CE                             mov     ecx, esi
.text:00411310 E8 7B FC FF FF                    call    sub_410F90   //这个函数就是检测线程注入的函数,nop掉
.text:00411310
.text:00411315 3B C3                             cmp     eax, ebx

XueTr.rar

218.85 KB, 下载次数: 29

去掉检测线程注入部分功能的XueTr

Thunderbird
发表于 2009-3-16 16:33:01 | 显示全部楼层
支持~~谢谢分享
乘风
发表于 2009-3-16 16:42:07 | 显示全部楼层
原帖由 Deker 于 2009-3-16 16:29 发表
目前XueTr就是这么写的  如果你要不检测这个的话  自己patch XueTr好了


谢谢楼主,明白了,

看到楼主这么辛苦,好感动。希望XueTr的功能越来越强大。
wastebaby
发表于 2009-3-16 16:50:48 | 显示全部楼层
不知道作者在下版更新可否加入全局卸载某注入DLL文件,象现在很多病毒都会把恶意文件注入到很多系统进程中,能否提供这种功能全局卸载进程中被注入的指定的某个文件.假下图中的DLL文件为病毒文件,要在所有被注入的进程中卸载。
1.JPG
Deker
 楼主| 发表于 2009-3-16 16:54:37 | 显示全部楼层
原帖由 wastebaby 于 2009-3-16 16:50 发表
不知道作者在下版更新可否加入全局卸载某注入DLL文件,象现在很多病毒都会把恶意文件注入到很多系统进程中,能否提供这种功能全局卸载进程中被注入的指定的某个文件.假下图中的DLL文件为病毒文件,要在所有被注入的进 ...



开始在所有进程中查找模块  然后选择卸载所有模块  就可以了啊
aquaos
发表于 2009-3-16 16:56:51 | 显示全部楼层
原帖由 Deker 于 2009-3-16 16:54 发表



开始在所有进程中查找模块  然后选择卸载所有模块  就可以了啊

用卸载所有模块功能时,如果某模块注入了xt,卸载是xt可能会出错退出呀。
wastebaby
发表于 2009-3-16 17:36:08 | 显示全部楼层
原帖由 Deker 于 2009-3-16 16:54 发表



开始在所有进程中查找模块  然后选择卸载所有模块  就可以了啊


明白了,刚开始用,套路没熟,嘿嘿,楼主辛苦了,工具强大~
Deker
 楼主| 发表于 2009-3-16 17:51:25 | 显示全部楼层
原帖由 aquaos 于 2009-3-16 16:56 发表

用卸载所有模块功能时,如果某模块注入了xt,卸载是xt可能会出错退出呀。


仁兄 所言极是
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 21:49 , Processed in 0.118712 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表