楼主: 曲中求
收起左侧

掀起你的盖头来:手工实战Rootkit木马

[复制链接]
水木
发表于 2009-1-19 09:52:31 | 显示全部楼层
你们聊得很热闹,感谢大家积极的交流
156200
发表于 2009-1-19 11:46:19 | 显示全部楼层
经典教程啊
taoyuan237
发表于 2009-1-19 15:40:02 | 显示全部楼层
不错的说。学习了
手写连笔王
发表于 2009-1-19 16:19:57 | 显示全部楼层
好详细的教程,收藏好好学习下,多谢楼主提供!!
evilrabbit
发表于 2009-1-19 17:10:29 | 显示全部楼层
其实有非法进程杀了到好说,关键是那些隐藏进程的,dll注入到exp下面。然后你卸载了,它还会自动注入,主流工具不可以用但可以试试一些非主流的东东,regedit不能打开注册表,可以修改后缀。autoruns被禁用了吗?
用好SysinternalsSuite的套装,手动杀毒并非难事。
该教程的入口点就是通过第三方工具,先找出可疑文件,然后对其下黑手。
如果该工具被劫持了呢?
限制程序运行 我只知道劫持一种方法,app好像也可以,没研究过。
ps 顺便说句,我们的wsyscheck0223可没那么脆弱,首先启动后标题栏的文件名是随机变化的,更改文件名后启动,进程名也会会随机变化,不好劫持吧。
如果是  释放的驱动名称也是随机变化的,那就无法劫持了。
美拉美啦
发表于 2009-1-19 17:25:08 | 显示全部楼层
超级巡警可以用别的什么代替?它太占内存
Magis
头像被屏蔽
发表于 2009-1-19 17:36:08 | 显示全部楼层
曲博强大,后排学习!
tawny2008
发表于 2009-1-19 17:45:58 | 显示全部楼层

回复 95楼 wolfwalk888 的帖子

你没有看完整个帖子,让wsyscheck不能启动是因为调用内存地址出错,属于FSD HOOK或禁止任何调用,不是用映像挟持的技术,也不是关闭窗口的技术,因为wsyscheck随机标题,估计采用了禁止加驱加FSD控制,另外超级巡警是没进病毒的黑名单,如果进了,也启动不来

其实记得有一个更加猥琐的手段可以关掉wsyscheck,记得有个病毒是如何关冰刃的吗?不是映像挟持,不是查找标题窗口,也不是禁止加驱,不是发垃圾消息,是最猥琐的查找版权信息,如果是版权是PJF就关闭,你说怎么防


就算是用了那款加壳后的冰刃也是照样被关的,加壳后版权信息还在,除非PJF公布源码,然后我们把他的版权去掉

[ 本帖最后由 tawny2008 于 2009-1-19 17:56 编辑 ]
evilrabbit
发表于 2009-1-19 17:55:28 | 显示全部楼层

回复 98楼 tawny2008 的帖子

我下载个虚拟机试试看
tawny2008
发表于 2009-1-19 18:00:28 | 显示全部楼层
原帖由 wolfwalk888 于 2009-1-19 17:55 发表
我下载个虚拟机试试看


去试是否那个病毒禁止加驱吗?顺便试试超级巡警是否真的在ring3检测ring0
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-15 00:49 , Processed in 0.095610 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表