使用辅助杀软如何识别哪些是正常的驱动哪些是病毒木马？

显示全部楼层 · 发表于 2009-11-25 17:27:11

比如用sreng扫描，类似在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\文件夹下的驱动肯定是木马，但是在system32\DRIVERS\文件夹下的众多驱动怎么判断哪个是正常的哪个是病毒呢？难道一个一个google吗？我看到有人说看.dll文件的属性，如果产品版本、名称、公司、内部名称、文件版本、语言、源文件名等，都有相应有的值出现，就说明这个后缀为.dll的文件是合法的。这样保险吗？
再比如用XueTr，在SSDT中有很多红色的钩子，怎么判断哪些是正常的哪些是木马呢？

显示全部楼层 · 发表于 2009-11-25 19:02:36

经验！

显示全部楼层 · 发表于 2009-11-25 21:58:21

首先是看产品公司之类的
后面主要是看经验
不认识的google

显示全部楼层 · 发表于 2009-11-25 22:12:30

校正数字签名，看创建日期，上传到多引擎扫描网站，上报杀软官方。。

类似在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\文件夹下的驱动肯定是木马

举个反例，sod插件的驱动就释放在这里。。

显示全部楼层 · 发表于 2009-11-25 23:13:55

保险的方法还是上传到多引擎扫描网站进行分析下，现在的病毒伪装的技术高，效验的不是保险的方法，DLL的还是通过一些Crack工具分析下，比如加壳的

显示全部楼层 · 发表于 2009-11-26 13:48:31

　　文件属性中的版本信息不太可靠，因为可以伪造，而数字签名是无法伪造的，所以根据有效的数字签名中的厂商来判定是比较可靠的，但问题是有数字签名的不多。
　　sreng验证通过会有标记的，这个可以信任。

显示全部楼层 · 发表于 2009-11-29 00:28:35

那个红色的，钩子，就是函数被挂了，一般是杀毒软件。安全软件等等。一般软件不会挂。如果是其他不认识的。就有问题了。。

[求助] 使用辅助杀软如何识别哪些是正常的驱动哪些是病毒木马？