PowerTool(16/03/08/22更新64位V2.0，增加了硬件检测，UEFI/GPT简单检测~ )

dl123100

FreeEquFraT 发表于 2011-2-17 15:18
回复 864楼 ithurricane 的帖子

谢谢学习了，顺便表扬一下PT在这个http://bbs.kafan.cn/thread-909430-1-1 ...

Koutodoor上个月看过
不只object hook 应该注册了CmpCallback
它的隐藏注册表 XueTr右键选择hive分析显然是可以看到的
恢复hook后 如果不挂起驱动线程会重新安装hook 所以XueTr恢复后默认仍然看不到注册表是很正常的 至少得刷新下吧
最后 从来没发现MD有恢复object hook的功能

sj123

看起来挺不错的啊，谢谢分享了啊，辛苦了

FreeEquFraT

回复 871楼 dl123100 的帖子

非常感谢大侠的指点啊，使用HIVE分析我是后来才知道的，http://bbs.kafan.cn/thread-910216-1-1.html这里的15楼和28楼有我的胡乱分析，目前我的水平还很菜，ARK工具也不太会用。
1、你说的CmpCallback我不懂，我粗浅的看了一下是发现了5个“钩子”，2个object钩子、2个inline hook、一个系统回调，但我不知道你说的CmpCallback是什么钩子，至少我没看到这个名称的函数HOOK。
2、XT右键HIVE分析确实可以看到，这点确实是我水平菜，一开始不懂，后来才明白的。
3、驱动线程挂起是什么意思，大侠你是指内核线程还是说在驱动上点右键会有个线程把这个线程挂起吗？这个我倒是没有注意到，我也不懂，不过确实我试了多次，我们不拿XT的注册表来看，我们直接使用系统的regedit来做比较好了，如果用MD恢复object hook后直接用regedit都可以看到隐藏的驱动，而用XT却不行，而且MD的object钩子报的和XT、PT的不一样，而我用XT恢复object钩子，regedit看不到，用MD恢复，regedit就可以看到，我水平菜不懂，所以我目前就相信我所看到的，因为MD恢复object就可以看到，而XT不行所以我才会怀疑XT检测钩子是不是有问题，而且这个病毒我觉得还是很“基础”的，没有理由能让XT出现失误，所以到现在我还是很困惑的，干脆我做个视频上来吧，大侠你觉得可行我就做个视频发上来，你帮我看看是不是我哪里操作有问题，可以吗？
3、MD确实可以检测和恢复kernel object hook，我截图上来的这个应该就是object hook吧，如果不是的话麻烦大侠指点我一下这个是什么类型的hook

dl123100

回复 873楼 FreeEquFraT 的帖子

在虚拟机运行了下这个样本 跟我以前看过的行为不太一样 没有那个样本神奇这个样本确实没有注册CmpCallback
至于object hook 我手头的XueTr新版有3个 MD少检测了1个

FreeEquFraT

回复 874楼 dl123100 的帖子

如果object是3个那应该就对了，大侠你的是内测版的吧，我只有吾爱版的，你可以试试吾爱版的，吾爱版的CalCellRountine没有检测出来的，MD应该也是确实少检测1个object，这样我的疑惑就解开了，谢谢你了。PT和XT的吾爱版一样少检测一个CalCellRountine。
不过我还有2个问题请教你一下：
1：就是上面你说的驱动线程是不是就是内核线程，用XT怎么看内核线程呢
2：就是注册表中browser helper object的启动项在XT中是在哪里看的，“启动”里面好像没找到。

dl123100

回复 875楼 FreeEquFraT 的帖子

hhive那里的几个劫持确实是吾爱版出来后才加的，不是内测版，XueTr的QQ群里应该也有。
驱动线程主要查看System——线程，查看线程对应模块；内核——工作线程。
BHO在IE相关的标签可以看到。

FreeEquFraT

回复 876楼 dl123100 的帖子

非常感谢啊，我提的那2个问题我大概知道了，但是OBJECT HOOK我这里用吾爱版确实只看到2个hook，MD也是确实是2个。PT和XT报的完全一样，我先上个图，我还录了一个录像，大侠要是有兴趣的话可以看看。
另外再给楼主大侠提一个发现的BUG，就是PT点文件厂商那里如果文件不存在的话就不能按照文件厂商排序，这个在录像里面有，希望楼主大侠也能修复一下，谢谢了。
录像地址：http://dl.dbank.com/c02ubsvlug  文件不大，rar打包3M多。


---------------------------------------------

再补充一点：
http://bbs.kafan.cn/thread-910216-4-1.html  这里31楼liulangzhecgr就是他先分析这个病毒我再和他讨论的，现在他也看了OBJECT HOOK，XT吾爱版确实在他那里只报2个和我的图里报的一样，没有报GetCellRountine。

teajoe

好东西要分享，支持

kappy

楼主，我想问一下用powertool检测文件的时候，每个分区里都有红色标记的“$BadClus:$Bad”，这个有什么用呢？我用的是windows xp sp3系统，目前只在http://forum.piriform.com/index.php?showtopic=21594上看到相关的英文解释，貌似说没什么影响。

ithurricane

kappy 发表于 2011-2-22 11:00
楼主，我想问一下用powertool检测文件的时候，每个分区里都有红色标记的“$BadClus:$Bad”，这个有什么用呢 ...

这个应该是NTFS元数据，
列出在卷上的坏簇用的吧