用SREng+XueTr捏死犇牛

dl123100

原帖由 backway 于 2009-3-28 23:50 发表
谢谢补充~

那个zx驱动xuetr的驱动里找不到，不知道啥原因
另外就是我刚找了个：
498421

驱动asc，我wsyscheck服务管理里可以查看到，xuetr驱动里却找不到 无解。。。
%temp%下有很多文件都删除不掉的 曾经我 ...

驱动都不加载了 XueTr当然检测不到

evilrabbit

看了主题里的图片，usernit.exe下面的1025端口只是开放了而已 不该标明的，xuetr那个只是开放了本地的一个端口，远程ip 没显示。。  如果显示远程ip的话，则表明远程计算机和本地计算机连接上了。，xuetr只开放一个端口，什么也说明不了。只能表面当前的状态。

忘记说了。xuetr的网络端口监控是静态的，如果可以像tcpview那样动态监视就好了，O(∩_∩)O~、、、、

[ 本帖最后由 wolfwalk888 于 2009-3-29 09:44 编辑 ]

水木

如果像tcpview那样动态监视就能说明...........

小v可

不错的文章，可是我就与病毒无缘啊，中不了啊！

backway

原帖由 wolfwalk888 于 2009-3-29 09:38 发表
看了主题里的图片，usernit.exe下面的1025端口只是开放了而已 不该标明的，xuetr那个只是开放了本地的一个端口，远程ip 没显示。。  如果显示远程ip的话，则表明远程计算机和本地计算机连接上了。[:15: ...

很简单，我们通过锐捷拨号上网的呃，之前也有朋友看出来了。之前的清理， 包括截端口那图，我都没运行锐捷的。
我这个实验只是说明断网情况下的清理过程。其实第一个端口截图里可以看出远程ip的 那时我联网了 之后就断开了
如果联网，我也试了，userinit.exe会和远程IP连接的，我发现有2个不同的ip，都是广东的。如果我开放端口联网，可能我无法完成边杀毒边截图了。
另外联网病毒还会有后续动作动作，比如会替换%windir%下的explorer.exe并会运行，同时会将原本正常的explorer.exe移至%windir%\temp下，同时运行。
还有C 根目录下的C:\windowsupdate.dll，smallyou说可能会感染非系统区文件。实验过程中确实加载了该文件，但没感染非系统区文件。如果是联网状态，不知道后果如何。。。。。。

[ 本帖最后由 backway 于 2009-3-29 10:51 编辑 ]

backway

这个实验，之前运行病毒时没用任何工具对其监控。另外用xuetr删除文件时一般没用到让文件按时间排序，只是最后清理残留项时用到。这样做只是为了说明，如果我们是在不知情的情况下中毒的，或者说中毒时间也不确定的话，还是照样可以这样清理病毒的。像石头的那篇文章：http://bbs.kafan.cn/thread-446693-1-2.html，也可以看出从文件创建时间排除可疑文件也是有其缺陷的。

evilrabbit

录制成gif啊，每秒2帧   够用的了，主要不是做防火墙，犯不着做的那么精细，我想如果有时间的话，最好设置成动态显示的。还是动态的看着舒服，静态的老是感觉少了些东西似的。

[ 本帖最后由 wolfwalk888 于 2009-3-29 11:06 编辑 ]

evilrabbit

你不能开着影子类软件啊，先制造个中毒环境，然后再用手杀病毒，不彻底的话，重启后就没了。  有必要的话，用虚拟机测试吧。

backway

原帖由 wolfwalk888 于 2009-3-29 11:02 发表
你不能开着影子类软件啊，先制造个中毒环境，然后再用手杀病毒，不彻底的话，重启后就没了。  有必要的话，用虚拟机测试吧。

呵呵，感觉用虚拟机还是没实机方便
PS：以前在那个地址下载运行个这个病毒，这次再运行，才发现其已更新了。。。还好不感染其他正常文件，不然。。。

evilrabbit

黑炸弹穿不透SD,O(∩_∩)O~ 覆盖式感染啊，我用虚拟机测试过的，不过没联网，可能不准确吧。系统是xp sp2 精简版，sd1.275