天琊+SRENG 手工实战V病毒

tawny2008

感谢以上朋友的支持，已更新说明

ximo

简单看了下，的确是killav，以前写过一篇killav的详细分析，感觉最近的样本不过大同小异而已。
其次，运行后产生的进程也并非全是该样本释放的，好多是下载来的产物运行后产生的进程。
该毒的强度也不过如此，不必惊恐。
以前据说killav的下载产物中有virut?我没培养过，也不能下结论。但从楼主的文章来看，并没有感染迹象，所以，也就没有了virut。
文章写的还很详细，支持下吧。

卡饭小咯咯

强大 值得学习

fkrs10

谢谢小信的推荐，已经看了，不过，感觉不如http://bbs.kafan.cn/thread-430997-1-1.html无心讲得更细致．
还有，确实，病毒主体杀了，剩下的尸体就算未删除干净，也没有什么的．

只是，我还是有疑问，是不是通过SRENG的扫描，就一定可以在日志看到病毒，那怕这病毒是注入型的病毒．因为在＜疱丁解马＞中，作者说了，还有很多病毒（这也许是病毒的发展方向）为＂隐藏型＂（按我的理解应该是进程注入型及线程注入型）的病毒，那么，我们应该通过什么样的手段来判定是不是中毒且中毒的具体详情，及如何处理．

呵，你的这一个贴子当然也很好，看完之后，普通类型的病毒大概都知道如何处理了．
应该可以算杀毒的入门贴吧，谢谢

backway

原帖由 fkrs10 于 2009-4-29 07:47 发表
谢谢小信的推荐，已经看了，不过，感觉不如http://bbs.kafan.cn/thread-430997-1-1.html无心讲得更细致．
还有，确实，病毒主体杀了，剩下的尸体就算未删除干净，也没有什么的．

只是，我还是有疑问，是不是通过 ...

那篇关于sreng的讲解确实很好，我当初也是看那个看来的。看完这篇，sreng日志分析也基本了解了7分了。还有经验等。
sreng日志的进程里可以看到当前进程里注入的模块，不能扫描到注入的线程，这可以通过其他工具查看。其实sreng也没必要查看线程，线程本来就是一段代码而不是实实在在的文件，不是像插入的dll模块一样可以卸载删除。
怎么判断是否中毒的话，一般电脑使用者都可以感觉到的吧。。。

yhjtj

感谢小信带来的这篇详实的手动杀毒经验分享帖，看到你这篇帖子，再回顾我发的帖子，我感到非常的惭愧，我对不起那些回帖的饭友么，人家这才是真真正正的手杀，比我那陈咬金三板斧似的半自动杀毒强多了，可惜我不能给你加人气，真是太遗憾了！
另外有个小小的疑问，关于“13 sreng运行正常。运行很正常看来没挟持SRENG”，没有挟持是怎么看出来的呢？如果被挟持又有什么迹象呢？希望不吝赐教。

fkrs10

呵呵，也许是我太敏感了，虽然自己的电脑正常，但却也总是谨慎小心．
因为，按我的理解，其实病毒的发展没什么前途－－简单啊，发不了财嘛
但，木马就不同了．所以，以后的病毒发展方向应该是木马．

而木马因为本身的原因，它肯定是小心的躲藏着．
如果我们在使用电脑的时候，能感觉到有病毒或者木马，那么，这木马的制作水平也就太菜了．

现在的杀毒多半是病毒库，那些启发式或者主动型（包括HIPS）我们又不能完全信任．
所以，对进程的判定及启动项的判定是我们安全的最后保障了．

我在这儿设想一下：如果我是一个木马开发人员，那么，我要使用DLL注入型的方式潜入，并且潜入目录在迅雷安放DLL文件的目录下，并且，只有迅雷运行时，我才对外发送信息．
那问题来了，我们要如何识别呢？

yhjtj

ls的朋友，你的观点是正确的。
但部分概念可能没有搞清楚，病毒是总称，木马是病毒的一个分支，全称为木马病毒，另外还有蠕虫病毒等分支。
主动型hips，我们能够完全信任，因为他真实的反映了程序的动作，除非是智能的hips可能会按照既定规则不太靠谱，看你的装备为eq，手动的eq是完全能够防止dll，创建到迅雷目录的，很多规则都有这条，防注入更是小菜一碟。
识别很简单，安装可靠的来源下载的软件，保护该目录，保护该目录下程序，剩下的就是自己判断好坏与允许拒绝了。

evilrabbit

病毒和木马现在都区分不开了，以前病毒定义为带有破坏感染等特性的非法程序，不具备盗号的特性。而木马只具备盗号的特性。现在的病毒或者木马两个特性都具备，咋区分啊。

q67512

vista开启uac已管理员身份运行不起来。提示加载驱动失败是什么原因？