楼主: dl123100
收起左侧

[原创文章] 使用XueTr手杀病毒小谈

  [复制链接]
evilrabbit
发表于 2009-4-30 06:31:55 | 显示全部楼层
测试卡饭最近挂的木马usernit.exe这个样本?  没发现usernit.exe被修改了吗?
我测试的时候,测试了好几次都是被修改了。
dl123100
 楼主| 发表于 2009-4-30 07:59:38 | 显示全部楼层

回复 12楼 wolfwalk888 的帖子

我实机、虚拟机试了多次都没改
可能不需要穿还原就不写userinit.exe了
lixiang1977
头像被屏蔽
发表于 2009-4-30 08:47:02 | 显示全部楼层
比较喜欢这种类型的文章,纯手工杀毒,最关键的是事先没有记录病毒行为(实际杀毒时谁会帮你记录),完全模范中毒环境!
ldfkafan
发表于 2009-4-30 08:49:18 | 显示全部楼层
学习, 也感谢Deker兄的大作.
backway
发表于 2009-4-30 10:26:26 | 显示全部楼层
辛苦了~
我测试actvec.exe时候它替换了系统文件aec.sys和asyncmac.sys
xuetr添加统一验证数字签名比较好
昨晚测试磁碟机,觉得如果病毒创建的文件比较多或者比较顽固, 重启删除或DOS删除更方便些。
另外那个改浏览器首页ku2009那个,看到你测试时xuetr还是显示驱动是ntfs.sys,用EQ拦截其行为时驱动名是随机的,只是把驱动文件从drivers拷贝出来后才变为ntfs.sys。大家也可以配合着http://bbs.kafan.cn/thread-459626-1-1.html看,就是那个baby.exe

[ 本帖最后由 backway 于 2009-4-30 10:35 编辑 ]
费饭饭
发表于 2009-4-30 11:05:29 | 显示全部楼层
{AEB6717E-7E19-11d0-97EE-00C04FD91972}项对应的是shell32.dll,由于具有统一的GUID,不会误删。
我怎么知道该删哪个?


hook,驱动更不知道了,
evilrabbit
发表于 2009-4-30 11:36:42 | 显示全部楼层

回复 13楼 dl123100 的帖子

我这里看了下,用那个金山清理专家扫描的,重启后发现usernit.exe被修改。 确实穿了还原,测试之前我用金山清理诊断呢,没发现usernit.exe被修改。郁闷。
你OD用的熟吗?用od跟踪一下看看吧,反正我不会。
测试程序sd最新版。
一凡
发表于 2009-4-30 11:54:27 | 显示全部楼层
强帖,飞艇
留名学习中
dl123100
 楼主| 发表于 2009-4-30 11:57:05 | 显示全部楼层
原帖由 backway 于 2009-4-30 10:26 发表
辛苦了~
我测试actvec.exe时候它替换了系统文件aec.sys和asyncmac.sys
xuetr添加统一验证数字签名比较好
昨晚测试磁碟机,觉得如果病毒创建的文件比较多或者比较顽固, 重启删除或DOS删除更方便些。
另外那个改浏 ...

多谢关注 我这里只是改了aec和asyncmac服务的启动信息。aec.sys和asyncmac.sys还是能通过签名校验的(上传的SREng Log隐藏了这几项,也可以证明),还有npf.sys也是,都没删。之后用Windows清理助手和金山清理专家检查这三个文件也没问题。
backway
发表于 2009-4-30 12:01:24 | 显示全部楼层

回复 20楼 dl123100 的帖子

汗 你等下再回复啊 先把帖子编辑完
晚上再来看后面的。。。
辛苦了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 00:31 , Processed in 0.096767 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表