掀起你的盖头来：手工实战Rootkit木马

水木

你们聊得很热闹，感谢大家积极的交流

156200

经典教程啊

taoyuan237

不错的说。学习了

手写连笔王

好详细的教程，收藏好好学习下，多谢楼主提供！！

evilrabbit

其实有非法进程杀了到好说，关键是那些隐藏进程的，dll注入到exp下面。然后你卸载了，它还会自动注入，主流工具不可以用但可以试试一些非主流的东东，regedit不能打开注册表，可以修改后缀。autoruns被禁用了吗？
用好SysinternalsSuite的套装，手动杀毒并非难事。
该教程的入口点就是通过第三方工具，先找出可疑文件，然后对其下黑手。
如果该工具被劫持了呢？
限制程序运行 我只知道劫持一种方法，app好像也可以，没研究过。
ps 顺便说句，我们的wsyscheck0223可没那么脆弱，首先启动后标题栏的文件名是随机变化的，更改文件名后启动，进程名也会会随机变化，不好劫持吧。
如果是  释放的驱动名称也是随机变化的，那就无法劫持了。

美拉美啦

超级巡警可以用别的什么代替？它太占内存

Magis

曲博强大，后排学习！

tawny2008

你没有看完整个帖子，让wsyscheck不能启动是因为调用内存地址出错，属于FSD HOOK或禁止任何调用，不是用映像挟持的技术，也不是关闭窗口的技术，因为wsyscheck随机标题，估计采用了禁止加驱加FSD控制，另外超级巡警是没进病毒的黑名单，如果进了，也启动不来

其实记得有一个更加猥琐的手段可以关掉wsyscheck，记得有个病毒是如何关冰刃的吗？不是映像挟持，不是查找标题窗口，也不是禁止加驱，不是发垃圾消息，是最猥琐的查找版权信息，如果是版权是PJF就关闭，你说怎么防


就算是用了那款加壳后的冰刃也是照样被关的，加壳后版权信息还在，除非PJF公布源码，然后我们把他的版权去掉

[ 本帖最后由 tawny2008 于 2009-1-19 17:56 编辑 ]

evilrabbit

我下载个虚拟机试试看

tawny2008

原帖由 wolfwalk888 于 2009-1-19 17:55 发表
我下载个虚拟机试试看

去试是否那个病毒禁止加驱吗？顺便试试超级巡警是否真的在ring3检测ring0