楼主: dl123100
收起左侧

[原创文章] 使用XueTr手杀病毒小谈

  [复制链接]
小火柴
发表于 2009-5-1 13:20:35 | 显示全部楼层
关于磁碟最后那步不太明白
是强制删除那些文件。还是把那些文件重启删除?
那文件重启删除信息在哪找的?

[ 本帖最后由 小火柴 于 2009-5-1 13:21 编辑 ]
dl123100
 楼主| 发表于 2009-5-1 14:32:37 | 显示全部楼层
原帖由 小火柴 于 2009-5-1 13:20 发表
关于磁碟最后那步不太明白
是强制删除那些文件。还是把那些文件重启删除?
那文件重启删除信息在哪找的?

在XueTr文件管理界面,选择本地磁盘,点右键“查看文件重启删除信息”。
只是查看一下重启删除信息(类似SREng插件PendMove的功能),怕被病毒利用来自动运行。
zhouyangbozyb
发表于 2009-5-1 15:03:41 | 显示全部楼层
好贴!支持一下,学习中。。
x_3max
发表于 2009-5-1 15:14:02 | 显示全部楼层
看的晕呼呼的。
本菜鸟我还是搞我的comodo去`~
223311
发表于 2009-5-1 15:47:41 | 显示全部楼层
真的是好帖,尤其是配上了动画。虽然我没有完全看懂,但至少学了几招。
yhjtj
发表于 2009-5-1 20:39:30 | 显示全部楼层
请教lz,注册表hiv分析有什么不同?
tawny2008
发表于 2009-5-1 20:46:02 | 显示全部楼层

回复 46楼 yhjtj 的帖子

可以反隐藏,如果有注册表是隐藏的,那么就会显示出来了
evilrabbit
发表于 2009-5-1 20:54:17 | 显示全部楼层
http://msdn.microsoft.com/en-us/library/ms724877(VS.85).aspx 看msdn吧,我英文翻译不行。
dl123100
 楼主| 发表于 2009-5-1 21:28:56 | 显示全部楼层
原帖由 yhjtj 于 2009-5-1 20:39 发表
请教lz,注册表hiv分析有什么不同?

在系统中注册表以hive(储巢)文件形式存储,可以参考"庖丁解牛"教程(http://bbs.kafan.cn/viewthread.php?tid=172735&highlight=%BD%E2%C2%ED)。
rootkit可以通过hook 相关API等方式隐藏注册表。
不勾选“解析hive”,XueTr使用驱动利用底层函数读取注册表,但也可能因为hook等原因无法显示隐藏的注册表;勾选了“hive解析”,通过解析hive文件结构,可以绕过相关操作注册表的API Hook,显示隐藏文件(hive解析不提供编辑功能)。
XueTr的hive解析速度很快,且能解析一些仅在内存中的注册表,可能是直接解析内存中的hive。

[ 本帖最后由 dl123100 于 2009-5-1 21:31 编辑 ]
yhjtj
发表于 2009-5-1 21:43:46 | 显示全部楼层

回复 49楼 dl123100 的帖子

谢谢小信、wolfwalk888、dl123100的解答!
我也猜到是查看隐藏的注册表内容的功能,只是不敢确定;英文的页面,看不太懂,四级都没过,水平不够。
“显示隐藏文件(hive解析不提供编辑功能)”,能看到而不能编辑,对于注册表操作而言岂不是没用?难道连键值所在项一起删除?当然可以通过查看隐藏项目知道病毒所在位置和不可告人的目的。
隐藏项还要大海捞针似的一个一个找么?要是直接能像进程分析那样直接显示隐藏的注册表项目该多好!
请问xt有完整的教程么?有好多右键菜单不知道是什么功能,刚才自己捣鼓进程窗口菜单把xt搞得假死了,亏好用冰刃强制卸载了线程才关掉。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 22:21 , Processed in 0.160447 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表