楼主: 曲中求
收起左侧

掀起你的盖头来:手工实战Rootkit木马

[复制链接]
hanjianfeng
发表于 2009-1-18 21:16:56 | 显示全部楼层
谢谢楼主
tawny2008
发表于 2009-1-18 21:27:21 | 显示全部楼层
没用过XDelBoX,不知道它的DOS删除和Wsyscheck自带的DOS删除有什么区别没有?
曲中求
 楼主| 发表于 2009-1-18 21:33:39 | 显示全部楼层
原帖由 tawny2008 于 2009-1-18 21:14 发表


纯手删除无必要,有工具可以轻松完成的,就用工具,否则还要教人如何编写批量删除的批处理,你这个试验的病毒还有点嫩,应该禁止ring0加载驱动检测,这样不要说超级巡警,任何检查Rootkit木马的工具都无用

呵呵,这个样本正是你说的禁止ring0加载的典型。

选中这个样本,我觉得主要是看中这么几点:
⒈普通用户对于一般的木马查杀应该比较轻松,但对于Rootkit就很难说了,隐藏和自我保护是其特征,还包括你说的禁止ring 0加载驱动,其实这个病毒已经做到了这一点。而超级巡警,不是ring 0的,所以才能正常加载(金山清理专家和360无法查看隐藏驱动……对巡警赞个),同时,也是只能检测,但无法彻底清除并抑制再生,所以才要用XDelBox,除了Wsyscheck这种ring 0级的删除工具,特定的小工具就选它比较稳当。

⒉难度不能太大,如果清除的样本在操作上难度过大,对于刚练手的用户,会增加学习难度,并加重思想负担,作为开篇教程,不太合适。

⒊一定要能屏蔽ring 0加载驱动的,否则Wsyscheck一开,问题就变容易了。

⒋这个实例有二个主要的目的,正如在帖子中所言,一是加强常用工具在实践中的运用,二是加强对Rootkit木马在性质的了解。

[ 本帖最后由 曲中求 于 2009-1-18 21:45 编辑 ]
曲中求
 楼主| 发表于 2009-1-18 21:51:06 | 显示全部楼层

回复 22楼 tawny2008 的帖子

从使用上来看,差不多。说实话,比较欣赏Wsyscheck的删除功能,ring 0级强制删除、锁定删除(清0字节),DOS删除,删除能力有些变态。
tawny2008
发表于 2009-1-18 21:52:26 | 显示全部楼层
原帖由 曲中求 于 2009-1-18 21:33 发表

呵呵,这个样本正是你说的禁止ring0加载的典型。

选中这个样本,我觉得主要是看中这么几点:
⒈普通用户对于一般的木马查杀应该比较轻松,但对于Rootkit就很难说了,隐藏和自我保护是其特征,还包括你说的禁止 ...


那还真被你教了一回了,超级巡警能在ring3检测ring0的进程和模块?没用过巡警,如果这样,除了称赞我还能说什么,这个国产软件还真有点前途了,看来有空要去研究一下巡警了,谢了
tawny2008
发表于 2009-1-18 21:54:23 | 显示全部楼层
原帖由 曲中求 于 2009-1-18 21:51 发表
从使用上来看,差不多。说实话,比较欣赏Wsyscheck的删除功能,ring 0级强制删除、锁定删除(清0字节),DOS删除,删除能力有些变态。


SnipeSword和Wsyscheck删除功能(非DOS删除)都不及IceSword,自己实机测试过
曲中求
 楼主| 发表于 2009-1-18 21:55:13 | 显示全部楼层

回复 25楼 tawny2008 的帖子

看来意思没完全说明白了

超级巡警为什么能启动?如果是首先加载ring 0驱动的话,它是起不来的。而当使用anti Rootkit技术时是另外一回事。
曲中求
 楼主| 发表于 2009-1-18 21:56:00 | 显示全部楼层

回复 26楼 tawny2008 的帖子

冰刃的强制删除我也试过,有没有试过Wsyscheck的禁止创建和清0删除的结合使用?
曲中求
 楼主| 发表于 2009-1-18 22:00:18 | 显示全部楼层

回复 25楼 tawny2008 的帖子

另外补充一下,当巡警进行anti Rootkit时,这个时候如果对其操作,容易出现蓝屏。所以,ring 0级删除对这种木马并 不是最为有效的方法,即使这种时候,Xdelbox或者是Wsyscheck的DOS删除功能才是首选。可惜的是,后者在这种情况是肯定会被屏蔽的。一旦病毒有这种权限的时候。。。。

[ 本帖最后由 曲中求 于 2009-1-18 22:01 编辑 ]
tawny2008
发表于 2009-1-18 22:01:22 | 显示全部楼层
原帖由 曲中求 于 2009-1-18 21:55 发表
看来意思没完全说明白了

超级巡警为什么能启动?如果是首先加载ring 0驱动的话,它是起不来的。而当使用anti Rootkit技术时是另外一回事。


你的思路有问题,是加载了驱动才可以进入ring0,而不是进入ring0才加载驱动,如果病毒是禁止加载驱动的,那么超级巡警确实是在ring3检测ring0的进程和文件的,是有这种技术,你可以去远景晟地那边看看
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-15 00:47 , Processed in 0.090110 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表