XueTr教程----如何安全卸载进程模块(以磁碟机病毒为例)

小静电

原帖由 dl123100 于 2009-2-16 13:43 发表
对付磁碟机，其实强制删除文件后阻止文件生成或者DOS删除就可以了，拿XueTr对付磁碟机有点杀鸡用牛刀的感觉了。

磁碟机刚出来的时候，如何知道它挂钩那个文件在哪？冰刃、syscheck根本就打不开。

另外：xue tr 能运行，是不是只是因为磁碟机不认识它，所以才没有阻止他的运行呢?

Deker

原帖由 小静电 于 2009-2-16 14:29 发表


磁碟机刚出来的时候，如何知道它挂钩那个文件在哪？冰刃、syscheck根本就打不开。

另外：xue tr 能运行，是不是只是因为磁碟机不认识它，所以才没有阻止他的运行呢?

呵呵  XueTr能运行  应该很大程度归功于它不认识XueTr,XueTr是新出来的工具

我也不太知道 磁碟机用什么方法来阻止这些安全工具运行的 

但是 我可以透露一个XueTr的使用方法：

如果遇到不能运行的情况，把程序改名，这个时候 ，XueTr的主窗口标题 要加载驱动名都会 变成这个程序名

另外 XueTr 内部 有两个驱动程序   这两个驱动有细微差别， 在驱动加载失败的时候  会使用第二个驱动  这也是为了对抗一些病毒

当然  有很多办法可以让XueTr不能运行

[ 本帖最后由 Deker 于 2009-2-16 14:38 编辑 ]

Deker

好像磁碟机 是查找窗口  向安全工具的窗口发送消息  来阻止这些安全工具启动的

这个 对XueTr无效， XueTr对这种攻击已经具备一些防御能力

下次如果更新的话，这种防御能力可能还会更强

dl123100

这个前几天天琊和XueTr时也发现了。

dl123100

磁碟机的message flood攻击国内的几大杀软都能防了，现在看起来也比较简单了。

小静电

原帖由 Deker 于 2009-2-16 14:36 发表


呵呵  XueTr能运行  应该很大程度归功于它不认识XueTr,XueTr是新出来的工具

我也不太知道 磁碟机用什么方法来阻止这些安全工具运行的

但是 我可以透露一个XueTr的使用方法：

如果遇到不 ...

谢谢你的解答，这下明白了。

Deker

不过 病毒如果真的要 利用窗口 来攻击程序 很难防
现在  大家都防的是一些已经有病毒利用的技术

有窗口句柄  有很多方法可以攻击窗口

angel13th

猛然发现居然有了教程～支持一下～
提示有线程注入真是一个不错的功能，所以以前比起icesword，更喜欢rku，现在xuetr也有这个功能啦～赞～

水木

呵呵，磁碟机已经是过去的历史了！不论病毒还是杀软或一些辅助工具都是在不停地较量，也不可能有一款能100%抵御所有病毒并保护自身不被终结的，同样没有一款100%干掉所有杀软和辅助工具的病毒，就像我们现在对付病毒的方法：影子、沙盘、HIPS等！
这个工具个人认为不错，试用过一段时间没出现蓝屏及其它不稳定的现象，这对于作者来说真的是很不容易，版区鼓励这种软件对于此类辅助软件大力的赞扬

Deker

原帖由 水木 于 2009-2-16 18:53 发表
呵呵，磁碟机已经是过去的历史了！不论病毒还是杀软或一些辅助工具都是在不停地较量，也不可能有一款能100%抵御所有病毒并保护自身不被终结的，同样没有一款100%干掉所有杀软和辅助工具的病毒，就像我们现在对付病毒 ...

我也不敢说使用XueTr不会蓝屏，目前看，返回反馈蓝屏的不多，
由于水平有限，再加上精力有限（我测试的也不是很充分），我只能说使用XueTr出现蓝屏是必须的，只是你还没遇到。。。。水木版主很幸运啊，
不过，我这里也没蓝屏过 ，呵呵