瑞星所特有的内存查杀的可行性技术分析（图文并茂，详细讲解，欢迎测试）

显示全部楼层 · 发表于 2009-4-5 17:01:16

原帖由 ksdc0274119 于 2009-4-5 16:57 发表
使我想起当年毒霸的数据流引擎。。木马过文件扫描却过不了内存扫描。。

这就是为什么一般杀毒软件拦截率大于查杀率的原因。

显示全部楼层 · 发表于 2009-4-5 17:12:04

原来我以为内存扫描只是因为运行后脱壳了

[ 本帖最后由 popfather 于 2009-4-5 17:18 编辑 ]

显示全部楼层 · 发表于 2009-4-5 17:13:47

看来很多人都没有认真读完楼主的帖特别是最后那一张图，现在的人怎么都这么浮躁呢？

显示全部楼层 · 发表于 2009-4-5 17:21:06

想问一下：
内存扫描准确地定位到了释放的木马程序吗？
看截图是检测到了IEXPLORE.EXE，那这个木马是感染型的感染了IEXPLORE.EXE吗？
IEXPLORE.EXE是否被杀掉了？

显示全部楼层 · 发表于 2009-4-5 17:30:20

回复63楼的,那个IE文件是没有删除的,这个木马只是插入IE的进程从而达到绕过防火墙进行通信而已.

显示全部楼层 · 发表于 2009-4-5 17:33:36

不是感染，答案见65楼

另外这马貌似是反虚拟机的？

[ 本帖最后由 tanlimo 于 2009-4-5 17:35 编辑 ]

显示全部楼层 · 发表于 2009-4-5 17:37:43

那木马本身被定位到了吗？扫描结果中的“清除成功”清除的目标是哪个？

显示全部楼层 · 发表于 2009-4-5 18:29:37

就是内存当中的木马啊,清除后木马就不能上线了,也就没有任何功能了.IE文件还在的...

显示全部楼层 · 发表于 2009-4-5 19:17:20

楼主好强大~~~
-1的魅力也消掉了

[ 本帖最后由 cliffboy 于 2009-4-5 19:18 编辑 ]

显示全部楼层 · 发表于 2009-4-5 19:26:46

瑞星是世界公认的垃圾杀毒软件,实在不能说什么了.它和中国足球一样.都是中国赫赫有名的。

拿什么去爱你。。。。我的病毒

[技术原创] 瑞星所特有的内存查杀的可行性技术分析（图文并茂，详细讲解，欢迎测试）