掀起你的盖头来：手工实战Rootkit木马

zdlzp

手动也要用那么多工具,
有没有手动一个什么工具就完成的?

曲中求

因人而异，怎么写，应该看写的东西是给哪些对象而定，所以，文章和衣服也一样，也有是不是适合问题。呵呵~！

[ 本帖最后由 曲中求 于 2009-1-18 19:57 编辑 ]

曲中求

可以，去PE下，全部目测一次性清理，我经常这么做，这样的话别说一个工具，就是一个工具也不用了。前提是，要对windows目录和文件比较熟悉。呵呵。

工具具有互补作用，主辅并进比较合理，往往某工具在某情况下有用，但在另一情况下则很难说。视情况而定，有些只需要一个工具，有些不需要工具，还有些可以多找点工具。

曲中求

如果不用工具，直接纯手删除，则很多人觉得有作弊的疑点，更重要的是，这样的话，对普及提高普通用户的手动能力上并没有多大帮助。

所以，像以往的帖子一样，此帖还是普及帖，希望我们卡饭有更多的适合新手在各个方面的帖子，真正是菜鸟们全面起飞的地方。。。

wajika

boot 是目前比较实用的工具

水木

写的很详细，辛苦曲版了

PS：4楼不是所有的Rootkit都能这样，就向杀软一样也要因人而异

曲中求

谢谢泡泡！

希望有更多的会员来交流，进一步加强这个区的人气，泡泡一人很不容易。目前介绍工具的帖子我觉得还是不错的大家很有分享精神，俺们的会员很热心，在工具和样本结合操作上的帖子相比之下少些，希望更多的会员能一起探讨分享使用心得，让更多来我们论坛的人有机会能在这里满足他们各个方面的需求！

[ 本帖最后由 曲中求 于 2009-1-18 20:48 编辑 ]

tawny2008

不错，对新手来说，这可是好文章啊，很有帮助的

angel13th

不错的帖子～不过现在的某些rootkit自我保护越来越强，在热系统下与其硬拼不是明智之选，ＰＥ下绞杀才是终极方法

tawny2008

原帖由 曲中求 于 2009-1-18 20:04 发表
如果不用工具，直接纯手删除，则很多人觉得有作弊的疑点，更重要的是，这样的话，对普及提高普通用户的手动能力上并没有多大帮助。

所以，像以往的帖子一样，此帖还是普及帖，希望我们卡饭有更多的适合新手在各个 ...

纯手删除无必要，有工具可以轻松完成的，就用工具，否则还要教人如何编写批量删除的批处理，你这个试验的病毒还有点嫩，应该禁止ring0加载驱动检测，这样不要说超级巡警，任何检查Rootkit木马的工具都无用