手杀:200903271(45X)

显示全部楼层 · 发表于 2009-3-27 10:59:20

病毒名称:
可执行文件名称:45x(45个病毒包)
路径:http://bbs.kafan.cn/thread-448385-1-1.html
测试声明:
以下行为仅代表在此次测试环境下的行为，不代表在全部环境下的行为。
测试环境:
OS:winxp sp3 (深度系统 v6.2)
FS:FAT32,仅有系统盘C
网络:本地连接禁用
使用工具:fire,xuetr,wsyscheck
测试过程:
1.测试前图(图1)

2.运行45x
3.运行后图(图2)

4.重新启动计算机
5.运行xuetr，关闭非正常进程及卸载模块，卸载模块过程中发现XUETR非正常退出（大概次序不对，不管了，没关系的）。(图3)

6.重新开xuetr，并关闭非正常进程，开启xuetr禁止创建的功能（配置那），开启fire
7.看下xuetr的非正常模块的大概位置，在system32下及font下，FIRE进入对应目录（图4）

8.fire保护非正常文件（图5）修正：应该是没有删除过文件

9.重新启动，结束非必要进程，卸载模块。
9.用xuetr启动项管理，删除异常项目（参看上面提到的那两个目录的文件）
10.fire扫描未通过签名启动项并处理(图6)

11.重启，发现有个comres.dll还是常驻，用fire找到并保护它，并重新查看启动项
12.重启，未发现异常，开启网络，重启。
13.未发现异常，删除刚才被保护的文件。
14.用备份的comres.dll恢复comres.dll，没有备份？
15.以上步骤仅为最顺手方法，非唯一方法。
测试总结:
1.做好日常防护工作
2.以面到点，先易后难

[ 本帖最后由银砾石于 2009-3-27 11:05 编辑 ]

显示全部楼层 · 发表于 2009-3-27 11:03:59

学习一下！

显示全部楼层 · 发表于 2009-3-27 11:45:06

前来学习。对手杀不懂ing

显示全部楼层 · 发表于 2009-3-27 11:54:20

8.fire保护非正常文件

保护病毒文件？为什么要保护？

显示全部楼层 · 发表于 2009-3-27 12:31:14

保护后此文件不能被访问。

显示全部楼层 · 发表于 2009-3-27 13:18:59

先占楼再看

==============================

网络:本地连接禁用
使用工具:fire,xuetr,wsyscheck

全程没用过wsyscheck，wsyscheck的作用是？构建安全环境？清除autorun？显示隐藏文件？

[ 本帖最后由 tawny2008 于 2009-3-27 13:25 编辑 ]

显示全部楼层 · 发表于 2009-3-27 13:24:40

前排占位，下午放学，晚上测试微点结束再看

显示全部楼层 · 发表于 2009-3-27 13:29:07

重启.....
忘了说了，清除过程中的所有重启都是直接重启，不是正常重启的，如果你机箱上有RESET，那么，按那个就可以了

显示全部楼层 · 发表于 2009-3-27 13:32:05

哦，原来是用来重启啊，其实CTRL+任务管理器就可以了，用wsyscheck有点浪费

显示全部楼层 · 发表于 2009-3-27 13:36:10

其实我是以前的没删掉-----测试是虚拟机里，直接虚拟机的热键就可以重启的
wsyscheck备用，有些地方比较方便。

手杀:200903271(45X)

评分

回复 4楼大少爷的帖子

回复 6楼 tawny2008 的帖子

回复 8楼银砾石的帖子

回复 9楼 tawny2008 的帖子

手杀:200903271(45X)

评分

回复 4楼 大少爷 的帖子

回复 6楼 tawny2008 的帖子

回复 8楼 银砾石 的帖子

回复 9楼 tawny2008 的帖子

回复 4楼大少爷的帖子

回复 8楼银砾石的帖子