使用XueTr手杀病毒小谈

小火柴

关于磁碟最后那步不太明白
是强制删除那些文件。还是把那些文件重启删除？
那文件重启删除信息在哪找的？

[ 本帖最后由 小火柴 于 2009-5-1 13:21 编辑 ]

dl123100

原帖由 小火柴 于 2009-5-1 13:20 发表
关于磁碟最后那步不太明白
是强制删除那些文件。还是把那些文件重启删除？
那文件重启删除信息在哪找的？

在XueTr文件管理界面，选择本地磁盘，点右键“查看文件重启删除信息”。
只是查看一下重启删除信息（类似SREng插件PendMove的功能），怕被病毒利用来自动运行。

zhouyangbozyb

好贴！支持一下，学习中。。

x_3max

看的晕呼呼的。
本菜鸟我还是搞我的comodo去`~

223311

真的是好帖，尤其是配上了动画。虽然我没有完全看懂，但至少学了几招。

yhjtj

请教lz，注册表hiv分析有什么不同？

tawny2008

可以反隐藏，如果有注册表是隐藏的，那么就会显示出来了

evilrabbit

http://msdn.microsoft.com/en-us/library/ms724877(VS.85).aspx 看msdn吧，我英文翻译不行。

dl123100

原帖由 yhjtj 于 2009-5-1 20:39 发表
请教lz，注册表hiv分析有什么不同？

在系统中注册表以hive（储巢）文件形式存储，可以参考"庖丁解牛"教程（http://bbs.kafan.cn/viewthread.php?tid=172735&highlight=%BD%E2%C2%ED）。
rootkit可以通过hook 相关API等方式隐藏注册表。
不勾选“解析hive”，XueTr使用驱动利用底层函数读取注册表，但也可能因为hook等原因无法显示隐藏的注册表；勾选了“hive解析”，通过解析hive文件结构，可以绕过相关操作注册表的API Hook，显示隐藏文件（hive解析不提供编辑功能）。
XueTr的hive解析速度很快，且能解析一些仅在内存中的注册表，可能是直接解析内存中的hive。

[ 本帖最后由 dl123100 于 2009-5-1 21:31 编辑 ]

yhjtj

谢谢小信、wolfwalk888、dl123100的解答！
我也猜到是查看隐藏的注册表内容的功能，只是不敢确定；英文的页面，看不太懂，四级都没过，水平不够。
“显示隐藏文件（hive解析不提供编辑功能）”，能看到而不能编辑，对于注册表操作而言岂不是没用？难道连键值所在项一起删除？当然可以通过查看隐藏项目知道病毒所在位置和不可告人的目的。
隐藏项还要大海捞针似的一个一个找么？要是直接能像进程分析那样直接显示隐藏的注册表项目该多好！
请问xt有完整的教程么？有好多右键菜单不知道是什么功能，刚才自己捣鼓进程窗口菜单把xt搞得假死了，亏好用冰刃强制卸载了线程才关掉。