掀起你的盖头来：手工实战Rootkit木马

tawny2008

原帖由 曲中求 于 2009-1-18 22:00 发表
另外补充一下，当巡警进行anti Rootkit时，这个时候如果对其操作，容易出现蓝屏。所以，ring 0级删除对这种木马并 不是最为有效的方法，即使这种时候，Xdelbox或者是Wsyscheck的DOS删除功能才是首选。可惜的是，后者 ...

原来如此，所以你才采用Xdelbox，受教了，确实就算Wsyscheck的DOS删除和Xdelbox一样，Wsyscheck启动不来没办法

曲中求

我不是这个意思，请再看一次我的帖子，呵呵。

我是说启动巡警时，是没有加载antiRootkit驱动的，只有在打开这个功能时才会加载。巡警并不是专门的antiRootkit工具，这个功能只是巡警的一个组件，就是当不调用这个模块的时候，驱动是不需要加载的。这个是巡警和其它专门的工具所不同之处。像Wsyscheck和antiRookit这种一开始就加载的，马上会被屏蔽，无法正常运行。见我的帖子。所有的都是。

tawny2008

原帖由 曲中求 于 2009-1-18 21:56 发表
冰刃的强制删除我也试过，有没有试过Wsyscheck的禁止创建和清0删除的结合使用？

肯定有试过，删都删不了，所以禁止文件创建和清0自然没用了，禁止进程创建也是比冰刃弱的，下次你遇到会重复启动的进程，Wsyscheck无法禁止创建进程的话，建议你用冰刃试试

tawny2008

刚才卡饭遭受DDOS攻击了，笑死http://bbs.kafan.cn/thread-409265-1-1.html

曲中求

这种情况暂时还没有遇到过，呵呵，不过你的建议不错。

一般情况下如果出现这种情况，直接拖进DOS删除了。。。。

曲中求

正常，过年的时候总有那么一次。。。

补充一下，巡警在打开Antirookit功能时，有时也会出现蓝屏，并且爆卡。。。。

[ 本帖最后由 曲中求 于 2009-1-18 22:17 编辑 ]

墨涵果果

好实用的教程啊！收藏啦，谢谢！

tawny2008

原帖由 曲中求 于 2009-1-18 22:04 发表
我不是这个意思，请再看一次我的帖子，呵呵。

我是说启动巡警时，是没有加载antiRootkit驱动的，只有在打开这个功能时才会加载。巡警并不是专门的antiRootkit工具，这个功能只是巡警的一个组件，就是当不调用这个 ...

哦，看来不能忽略偏门的辅助软件啊，你选工具还蛮行的嘛

tawny2008

原帖由 曲中求 于 2009-1-18 22:09 发表
这种情况暂时还没有遇到过，呵呵，不过你的建议不错。

一般情况下如果出现这种情况，直接拖进DOS删除了。。。。

呵呵，是的，有次冰刃无法删除的文件让Wsyscheck的DOS删除给删除了，DOS删除还是好东西

曲中求

呵呵，工具东瞅瞅西看看，可能多少对其了解那么一点点吧。