使用XueTr手杀病毒小谈

显示全部楼层 · 发表于 2009-4-30 12:03:22

原帖由 wolfwalk888 于 2009-4-30 11:36 发表
我这里看了下，用那个金山清理专家扫描的，重启后发现usernit.exe被修改。确实穿了还原，测试之前我用金山清理诊断呢，没发现usernit.exe被修改。郁闷。
你OD用的熟吗？用od跟踪一下看看吧，反正我不会。
测 ...

刚试了下，虚拟机装了RVS2008后，开影子模式重启后usernit.exe确实被修改，但还原快照后，在干净的系统（XP原版不打任何补丁）上运行仍然没修改userinit.exe文件。
这个样本我看了下，脱壳后好像仍然有一堆花指令，不过比较规则，等写完其它的手杀过程再分析。

[ 本帖最后由 dl123100 于 2009-4-30 12:19 编辑 ]

显示全部楼层 · 发表于 2009-4-30 13:32:30

我这边虚拟机没看到替换文件，估计开影子测试才有吧

显示全部楼层 · 发表于 2009-4-30 14:08:32

，实机测试和虚拟机测试，结果有点不太一样。虽然下载和生成物都差不多，呵呵多测试下就知道了，没想到这个破样本还有穿还原的特性。

显示全部楼层 · 发表于 2009-4-30 14:36:52

原帖由 wolfwalk888 于 2009-4-30 14:08 发表
，实机测试和虚拟机测试，结果有点不太一样。虽然下载和生成物都差不多，呵呵多测试下就知道了，没想到这个破样本还有穿还原的特性。

这个样本没有反虚拟机，实机测了一样不感染userinit.exe，应该是检测到了第三方过滤驱动（SD的)才有这个动作。

显示全部楼层 · 发表于 2009-4-30 14:38:45

第三篇完成，继续。。。

显示全部楼层 · 发表于 2009-4-30 14:54:55

高手，佩服，学习

显示全部楼层 · 发表于 2009-4-30 15:24:43

喜欢教程，谢谢楼主

显示全部楼层 · 发表于 2009-4-30 18:16:31

很详细的教程，学习了，谢谢分享~~

显示全部楼层 · 发表于 2009-4-30 19:11:44

这个教学难度有点大了，慢慢看，细细学．多谢．

显示全部楼层 · 发表于 2009-4-30 19:51:19

呵呵很期待呀很多图片哦还有GIF 很费时间的活啊顶你哦 LZ

[原创文章] 使用XueTr手杀病毒小谈

回复 22楼 dl123100 的帖子