“鬼影”Kill杀软系统重装无效 病毒技术超群无奈惜败微点

softkiller

我系统上的微点主动防御软件实时拦截处理成功：
   
某网站下载的带毒软件。其中的衍生物成人播放器组件ok.exe即为“鬼影”病毒（又名“飓风穿还原下载者”）

病毒作者在“鬼影”技术资料中写到:
穿还原（全中国唯一利用硬件接口直接解析文件系统的穿还原技术）
无限复活（利用国外黑帽子大会内部公布的Bootkit技术实现程序无限复活+超级隐藏）
飓风无限复活技术采用了当前市面上从未有过的另类复活技术MBR感染(主引导区感染)，都知道硬盘在分区时都会有开一个引导区用于加载系统，MBR感染后无论你如何与格式化硬盘或者重新安装系统马儿都会随着系统自动加载起来，而被引导加载的马儿存放的位置也不是放在哪一个分区磁盘里，通常情况下硬盘在分区时都会预留一部份空间出来用于存放一些缓存文件，而且这个空间是隐藏的，包括杀毒软件都无法对这个分区进行扫描，我们的原木马将存放在这个位置，一旦马儿被杀，或者系统重装或格式化了所有分区，那么只要重启计算机感染在MBR里的引导代码将会从硬盘的预留空间里调用马儿重新运行，除非这台计算机没有系统或者重新分区否则马儿永远都会无限复活！
Kill杀毒软件 ByPass主动防御
Kill杀毒软件没什么稀奇的，不论使用了什么技术都没什么，最重要的就是可以干掉杀毒软件就行！这里我也就不介绍KILL杀软的技术了，目前可以过的杀毒软件包括“卡巴2010”，“瑞星2010”，“江民2010”，“NOD32”，“金山2010”，“360安全卫士+保险箱+360杀毒”其它的杀软没怎么测试，我们使用的技术比较底层而且比较通用相信大部份杀毒软件都是可以KILL的！映像劫持了杀毒软件的某一个部位只要被KILL了杀毒软件也就再也无法启动了（这里要说明的是我们劫持的技术目前来说还没有人使用过，就算你改进程名什么什么都是无法启动的！并且目前可以Kill 360安全卫士 360杀毒 江民的下载者几乎少之又少，飓风则可kill市面上已知的所有主流杀毒软件,使用系统漏洞加载驱动，均可在任何杀软下无提示加载我们的驱动！）

“鬼影重重” 无能，不作为让用户欲哭无泪？

simonfour 高级用户 打酱油的！！ 积分 887 发帖 887 注册 2008-3-8

#7 我虚拟机里面..2000,2003,xp若干版本,vista ,7,都有,,都装了微点主防,,,难道我一直在做梦???? ※ ※ ※ 本文纯属【simonfour】个人意见，与【 微点交流论坛 】立场无关※ ※ ※

.

据我所知这个毒的技术早就有了，这种手法也不是第一次，在mj的笔下r3的五行代码就可以恢复，而且现在360已经可以完美防御此毒。。。而且现有的hips虽然拦截的不是很完美，但是仍然可以保证安全

aimt

沙发，笑而不语、、、、

softkiller

回复 2# 单身熟男


    看过就删了吧。

key4lock

板凳，笑而又笑、、、、

l.i.e

接着笑～～～～～～

lianyeguzhou

好可怕，有这么厉害的病毒吗，55555

simonfour

难道我rp这么好，，，，微点不支持vpc我都可以正常使用？？

405016

那分享，怪怪的

yujiakun

满以为金山不会到处树敌，没想到微点都不放过。
而且他的证据被小白扳倒了。