怎样才知道影子是否被穿？

周勃

我使用的是SD
有个问题我想问问各位高手，怎么才知道影子是否被穿？
这个问题如果不好回答，那就请举个很常见的例子，一般被穿的情况到底是要看哪里？
再一个就是想问问，如果是影子加HIPS，被穿的可能性大不大？

fufuji97

重启开机有异常启动项、服务项、计划任务等加载。关键系统文件被替换。重启前中毒的迹象依然存在

fufuji97

什么东西都在人为，不会用给你个铁布衫也没用，有了hips只能说防御武器很强悍了

周勃

请移步看看这个帖子：http://bbs.kafan.cn/thread-382402-1-1.html

第三项测试，机器狗穿了没有？

huai168an

具体的情况不知道，不过有一个现象可以参考，就看看进程中是否有一个常驻进程 uesrinit.exe。OP的FD太弱了，看不出啊，而且机器狗的样本很多也不同的。

如果是影子加HIPS，被穿的可能性大不大？

你认为呢？一般来说，机器狗多为网站挂马传播的，我说的是一般，HIPS做好了浏览器的防马规则，想进来也难吧

[ 本帖最后由 huai168an 于 2008-12-16 23:38 编辑 ]

周勃

`常驻进程里是没有uesrinit.exe，但SYSTEM32文件夹下还是有一个uesrinit.exe的。

OP的FD虽弱，但我觉得足够。

你有穿影子的病毒没有？拿一个给我来试试。

[ 本帖最后由 周勃 于 2008-12-16 23:55 编辑 ]

huai168an

system32下当然有那个文件了啊

我说OP的FD弱，并没有说OP的主动防御不能用啊，就像SSM一样，虽然无FD，但用好AD一样强大的，我还没那么偏激吧，呵呵

穿影子病毒现在多为机器狗吧，我以前在虚拟机中测试过的，别的就没了

周勃

不是，你误会了。
我是真让你拿一个穿影子的病毒来让我试试。
我是想看看穿了影子有什么特点。
同时也想看看OP能不能防住。

[ 本帖最后由 周勃 于 2008-12-17 00:05 编辑 ]

huai168an

机器狗你搜啊，我也没有啊，看看传影子就单独运行机器狗好了啊，当然机器狗变种的恶意度不同，有的就是破坏还原软件，就是针对网吧的那些机器的，有些变种可能带了恶意的下载木马啥的

原版的机器狗就是针对网吧系统的，破坏网吧还原系统的，普通用户中了，最多还原系统，也不累，现在就无所谓了啊，SD应该早就可以防御了吧

周勃

单独运行，我还是不敢的，那不是等着挨穿吗？我也懒得换系统呀。
我是想看看OP+影子，是不是会被穿。
嗯，算了，没样本我自己去找吧。