ARK 基本上都要加载驱动。。但是好像有的病毒不让驱动加载。。

显示全部楼层 · 发表于 2009-11-29 21:12:25

常备PE真EASY

针对某一种ARK的病毒比较常见，全盘禁止驱动加载的不多

Wsycheck貌似不加载驱动也能运行，不过能力大减。。。

显示全部楼层 · 发表于 2009-11-29 21:49:53

HIPS啊！一般加载驱动的话杀毒软件貌似也会提示吧！

LS几位说的也对啊 PE也是必须得准备的！

显示全部楼层 · 发表于 2009-11-29 22:02:39

PE 一直搞不好

抽时间好好像某人学习下

显示全部楼层 · 发表于 2009-11-29 22:13:22

用PE 的话，病毒不能运行了，这样不一定能够找到真正的黑手。比如，现在 XUETR 0.3 运行的时候360有提示，选择。

如果是病毒，直接就可以把xuetr 拦截掉了。。。

显示全部楼层 · 发表于 2009-11-29 22:16:56

直接挂个钩子禁止驱动加载不是难事情。。
当然了。。不用驱动也有办法进Ring0./..
XP下有NtSystemDebugControl等大法
Vista和7有点麻烦，不过现在已经有人搞出替换显示子系统驱动无加载函数进R0的办法了。

显示全部楼层 · 发表于 2009-11-29 22:21:39

所以，我处理病毒的时候，遇到这种禁止驱动加载的。。。就不行了，因为工具都不能用了。。。

这个有没有手动的方法，比如写脚本。这种办法来把函数恢复

显示全部楼层 · 发表于 2009-11-30 10:07:48

去年的时候我就提过这问题了.大家都冷眼对待.
我到现在都还没看到哪个软件不加驱动r3进R0干掉驱动的.希望以后会有.

其实系统变量改一下.会使很多病毒失去大部份功能的.变得容易杀死.

显示全部楼层 · 发表于 2009-11-30 10:22:13

又不是像某些国外的adware+恶作剧程序那样像hips阻止所有操作可以操作的方法太多了比如感染

显示全部楼层 · 发表于 2009-11-30 11:53:05

　　正如15楼小羽所说，可以无驱进Ring0，要是XT能够设计到这程度就好了。

显示全部楼层 · 发表于 2009-12-1 00:20:22

正规软件通常都用正规方法加驱的

[求助] ARK 基本上都要加载驱动。。但是好像有的病毒不让驱动加载。。