小白提问：关于可执行程序与DLL……

显示全部楼层 · 发表于 2009-12-29 17:25:42

电脑中毒后，譬如用XT在查看进程模块的时候，通常会发现许多正常进程被插入不少异常模块，那么，我们能否用其他什么方法，或者什么工具来查看这些模块里面比如某个DLL或者某个驱动曾经被或者正在被哪个程序调用？！

可能我表达得不够清楚，意思是说能否通过一种方法或者工具对这些异常模块进行跟踪，以期找到源宿主或者发现、分析两个甚至多个异常模块之间的关联，从而在手工清除病毒的时候“不漏网”……

比如像那些双进程相互监视的病毒，搞清个中关系，要清除它应该就不会那么艰难了。
如果可以，那么，对我们这种小白用ARK工具进行手杀将提供了无法想象的帮助……

PS: XT如果能够实现这个功能的话实在太好了……

显示全部楼层 · 发表于 2009-12-29 17:30:08

自己坐沙发。

希望不要有人回答：看SRENG日志吧……

显示全部楼层 · 发表于 2009-12-29 17:43:50

用冰刃的监视进程和线程的创建，可以部分实现楼主想要的效果

显示全部楼层 · 发表于 2009-12-29 17:46:42

另外对于exe进程的动作，可以用July注入DLL来进行跟踪。http://bbs.kafan.cn/thread-405993-1-1.html

显示全部楼层 · 发表于 2009-12-29 19:45:08

用冰刃的监视进程和线程的创建，可以部分实现楼主想要的效果
tawny2008 发表于 2009-12-29 17:43

冰刃？……

N久不用了，下次中毒的时候先拿它试试。

谢谢tawny2008解答！

显示全部楼层 · 发表于 2009-12-29 19:45:50

另外对于exe进程的动作，可以用July注入DLL来进行跟踪。
tawny2008 发表于 2009-12-29 17:46

恩，
刚才大致看了一下工具说明，
已经下载，得空一定要好好试试！
谢谢！

显示全部楼层 · 发表于 2009-12-31 20:29:23

动态监视或者跟踪比较好，只用ark之类的话，可以查看进程句柄、线程状态和对应模块、线程对应的栈回溯（procexp的stack功能，配合符号）、进程内存字符串之类的，不过比较麻烦，效果也不怎么好。

显示全部楼层 · 发表于 2009-12-31 21:57:49

本帖最后由穿越星空于 2009-12-31 22:18 编辑

回复 3# tawny2008
　　IS已经过时了吧？而且这功能XT只有禁止、没有监控，之前说错了，抱歉。

显示全部楼层 · 发表于 2009-12-31 21:59:35

本帖最后由穿越星空于 2009-12-31 22:07 编辑

回复 4# tawny2008
　　这个软件有这么强大吗？曾用过没发现有什么新意，我再试试。
　　话说有官方网站吗？作者还更新否？
　　原帖无法回复，只好回复在这儿了。
　　不用下载的压缩包里面是什么？
　　启动被CD+检测为恶意软件，按“取消”无法弹出界面。

显示全部楼层 · 发表于 2009-12-31 22:01:14

回复 7# dl123100
　　即使有了符号，也只对微软的有效。

[讨论] 小白提问：关于可执行程序与DLL……

评分

评分