推荐一款可以被用来练手杀的正规软件。

taoyuan237

原帖由 yhjtj 于 2009-5-25 18:48 发表
软件名称：健康上网专家V3.2
推荐理由：此款软件为正常软件，不是病毒，但行为类似病毒，有卸载程序即使删除不了也可以正常卸载，不用安装虚拟机就可以练手杀。
软件行为：隐藏进程、隐藏安装目录、屏蔽冰刃、狙剑 ...

我倒是手杀过。（成功了还是在不重启的情况下）。不过系统稳定性马上急速下降。最后不得不恢复

yhjtj

原帖由 gxrsprite 于 2009-5-26 12:44 发表
太简单了 打开 xuetr

先看到SSDT有新的hook，恢复

发现未知进程ftct.exe，结束后会重启

勾上禁止进程线程创建，禁止创建注册表项

结束并删除删除  ftct.exe 和里面的部分不认识的模块
启动项删除  ftct ...

隐藏文件恢复后又被还原的，说明还有残余，请继续研究。
最好有贴图，删除的文件列表以及重启后是否反复的情况，这样版主才好加分鼓励。

yhjtj

请不要放弃，期待你图文并茂的帖子。
hunter都是精英哦！

zdw2041

好像不适合我

gxrsprite

原帖由 yhjtj 于 2009-5-26 14:15 发表


隐藏文件恢复后又被还原的，说明还有残余，请继续研究。
最好有贴图，删除的文件列表以及重启后是否反复的情况，这样版主才好加分鼓励。

应该是批处理写的有问题，用icelight 恢复后就没事了

yhjtj

期待你图文并茂的帖子。
请按照一楼的标准编辑，谢谢你的参与。

gxrsprite

那个软件限制很强大啊，靠识别码的啊
把能限制的全部限制掉，就只有进PE玩了啊
将来这软件把所有内核软件加入黑名单，那些小孩怎么混啊


对了，杀完它应该有个标准吧，

能查隐藏文件，能再次安装软件为成功标志吧

[ 本帖最后由 gxrsprite 于 2009-5-26 14:57 编辑 ]

yhjtj

确实很变态，现在在单位，回去试试ls的同学推荐的dos下改文件类型的方法，（那位老兄一直就没露面了，我这心里对这法子感到真有点悬，）标准请pm版主，请版主定夺。
我认为应该是看有没有灭活为标准，主要看：启动项，进程，线程，模块，hook，lsp，修复效果等等……

zgzxp

原帖由 yhjtj 于 2009-5-26 15:42 发表
确实很变态，现在在单位，回去试试ls的同学推荐的dos下改文件类型的方法，（那位老兄一直就没露面了，我这心里对这法子感到真有点悬，）标准请pm版主，请版主定夺。
我认为应该是看有没有灭活为标准，主要看 ...

理论上改了文件类型的话，ｇｕｉ不能运行，但是现在的R0的限制一般都是作在驱动层面的，不搞定驱动，他的限制还在，该文件类型只是废了自启动

如果守护GUI的是驱动的话，他还是会运行的

以上纯理论推测

backway

大家可以另外开贴，写出手工解决的详细方案~

刚才试了，没r0层工具同样解决了

假设事先不知道病毒的文件，可以用扫描类工具扫描下，大致可以看出那些进程以及随机启动项和ShellExecuteHooks、驱动

在组策略里禁止那些f 开头的那些exe文件，直接删除ShellExecuteHooks项，dl不急着删，直接也删不掉

还有驱动，删除驱动文件、注册表项、更改启动类型都失败，虽然重命名驱动文件能成功，但它会再生，那么可以直接改写文件内容，比如覆盖里面的内容，实际上可以成功

然后重启，直接删除那些残留尸体，以及安装文件夹

之后运行狙剑等，能运行成功，清理成功了~


另外就是清理之前，虽然能阻止wsyscheck运行，但改下名字就能运行了，狙剑不行