PC Hunter V1.56 [2019-01-31] 发布，支持Win10(17763)

dl123100

原帖由 xixi0000 于 2009-3-16 15:26 发表
红伞的HOOK怎么显示未知模块 而且不可定位   如图：
发现冰刃也这个样子
486439

红伞驱动将hook的code放入nonpaged pool，所以检测不了路径(陈辉大侠提过）。这种手段rootkit常用。

乘风

原帖由 Deker 于 2009-3-16 12:08 发表
对狙剑用 强制删除  应该可以删除

感谢楼主解答，不过没能删除，一刷新又出来了。不一会又蓝屏了。重启后换了一个新的狙剑好了。



现在有一个问题：每次打开XueTr都“嘣”的一声弹出一个窗口


无论点“是”点“否”，下次打开还是出现这个。右键点XueTr.exe查看进程线程：

是搜狗拼音，

哪位高手帮忙解决一下怎么才能去掉打开XueTr时弹出的那个窗口？

Deker

原帖由 乘风 于 2009-3-16 15:52 发表

感谢楼主解答，不过没能删除，一刷新又出来了。不一会又蓝屏了。重启后换了一个新的狙剑好了。



现在有一个问题：每次打开XueTr都“嘣”的一声弹出一个窗口
486486

无论点“是”点“否”，下次打开还是出 ...

目前XueTr就是这么写的  如果你要不检测这个的话  自己patch XueTr好了

.text:00411306
.text:0041130B 83 C4 08                          add     esp, 8
.text:0041130E 8B CE                             mov     ecx, esi
.text:00411310 E8 7B FC FF FF                    call    sub_410F90   //这个函数就是检测线程注入的函数,nop掉
.text:00411310
.text:00411315 3B C3                             cmp     eax, ebx

Thunderbird

支持~~谢谢分享

乘风

原帖由 Deker 于 2009-3-16 16:29 发表
目前XueTr就是这么写的  如果你要不检测这个的话  自己patch XueTr好了

谢谢楼主，明白了，

看到楼主这么辛苦，好感动。希望XueTr的功能越来越强大。

wastebaby

不知道作者在下版更新可否加入全局卸载某注入DLL文件，象现在很多病毒都会把恶意文件注入到很多系统进程中，能否提供这种功能全局卸载进程中被注入的指定的某个文件.假下图中的DLL文件为病毒文件,要在所有被注入的进程中卸载。

Deker

原帖由 wastebaby 于 2009-3-16 16:50 发表
不知道作者在下版更新可否加入全局卸载某注入DLL文件，象现在很多病毒都会把恶意文件注入到很多系统进程中，能否提供这种功能全局卸载进程中被注入的指定的某个文件.假下图中的DLL文件为病毒文件,要在所有被注入的进 ...

开始在所有进程中查找模块  然后选择卸载所有模块  就可以了啊

aquaos

原帖由 Deker 于 2009-3-16 16:54 发表



开始在所有进程中查找模块  然后选择卸载所有模块  就可以了啊

用卸载所有模块功能时，如果某模块注入了xt，卸载是xt可能会出错退出呀。

wastebaby

原帖由 Deker 于 2009-3-16 16:54 发表



开始在所有进程中查找模块  然后选择卸载所有模块  就可以了啊

明白了，刚开始用，套路没熟，嘿嘿，楼主辛苦了，工具强大~

Deker

原帖由 aquaos 于 2009-3-16 16:56 发表

用卸载所有模块功能时，如果某模块注入了xt，卸载是xt可能会出错退出呀。

仁兄 所言极是