掀起你的盖头来：手工实战Rootkit木马

hanjianfeng

谢谢楼主

tawny2008

没用过XDelBoX，不知道它的DOS删除和Wsyscheck自带的DOS删除有什么区别没有？

曲中求

原帖由 tawny2008 于 2009-1-18 21:14 发表


纯手删除无必要，有工具可以轻松完成的，就用工具，否则还要教人如何编写批量删除的批处理，你这个试验的病毒还有点嫩，应该禁止ring0加载驱动检测，这样不要说超级巡警，任何检查Rootkit木马的工具都无用

呵呵，这个样本正是你说的禁止ring0加载的典型。

选中这个样本，我觉得主要是看中这么几点：
⒈普通用户对于一般的木马查杀应该比较轻松，但对于Rootkit就很难说了，隐藏和自我保护是其特征，还包括你说的禁止ring 0加载驱动，其实这个病毒已经做到了这一点。而超级巡警，不是ring 0的，所以才能正常加载（金山清理专家和360无法查看隐藏驱动……对巡警赞个），同时，也是只能检测，但无法彻底清除并抑制再生，所以才要用XDelBox，除了Wsyscheck这种ring 0级的删除工具，特定的小工具就选它比较稳当。

⒉难度不能太大，如果清除的样本在操作上难度过大，对于刚练手的用户，会增加学习难度，并加重思想负担，作为开篇教程，不太合适。

⒊一定要能屏蔽ring 0加载驱动的，否则Wsyscheck一开，问题就变容易了。

⒋这个实例有二个主要的目的，正如在帖子中所言，一是加强常用工具在实践中的运用，二是加强对Rootkit木马在性质的了解。

[ 本帖最后由 曲中求 于 2009-1-18 21:45 编辑 ]

曲中求

从使用上来看，差不多。说实话，比较欣赏Wsyscheck的删除功能，ring 0级强制删除、锁定删除（清0字节），DOS删除，删除能力有些变态。

tawny2008

原帖由 曲中求 于 2009-1-18 21:33 发表

呵呵，这个样本正是你说的禁止ring0加载的典型。

选中这个样本，我觉得主要是看中这么几点：
⒈普通用户对于一般的木马查杀应该比较轻松，但对于Rootkit就很难说了，隐藏和自我保护是其特征，还包括你说的禁止 ...

那还真被你教了一回了，超级巡警能在ring3检测ring0的进程和模块？没用过巡警，如果这样，除了称赞我还能说什么，这个国产软件还真有点前途了，看来有空要去研究一下巡警了，谢了

tawny2008

原帖由 曲中求 于 2009-1-18 21:51 发表
从使用上来看，差不多。说实话，比较欣赏Wsyscheck的删除功能，ring 0级强制删除、锁定删除（清0字节），DOS删除，删除能力有些变态。

SnipeSword和Wsyscheck删除功能（非DOS删除）都不及IceSword，自己实机测试过

曲中求

看来意思没完全说明白了

超级巡警为什么能启动？如果是首先加载ring 0驱动的话，它是起不来的。而当使用anti Rootkit技术时是另外一回事。

曲中求

冰刃的强制删除我也试过，有没有试过Wsyscheck的禁止创建和清0删除的结合使用？

曲中求

另外补充一下，当巡警进行anti Rootkit时，这个时候如果对其操作，容易出现蓝屏。所以，ring 0级删除对这种木马并 不是最为有效的方法，即使这种时候，Xdelbox或者是Wsyscheck的DOS删除功能才是首选。可惜的是，后者在这种情况是肯定会被屏蔽的。一旦病毒有这种权限的时候。。。。

[ 本帖最后由 曲中求 于 2009-1-18 22:01 编辑 ]

tawny2008

原帖由 曲中求 于 2009-1-18 21:55 发表
看来意思没完全说明白了

超级巡警为什么能启动？如果是首先加载ring 0驱动的话，它是起不来的。而当使用anti Rootkit技术时是另外一回事。

你的思路有问题，是加载了驱动才可以进入ring0，而不是进入ring0才加载驱动，如果病毒是禁止加载驱动的，那么超级巡警确实是在ring3检测ring0的进程和文件的，是有这种技术，你可以去远景晟地那边看看