NIS+MSE被穿透，实机试毒的教训啊。。。

显示全部楼层 · 发表于 2010-7-1 15:55:37

见救援区：

已经很小心了，手痒的时候都打开NIS防火墙的高级事件监控，再用windows清理助手扫尾，然后MS ...
wjcharles 发表于 2010.6.28 15:02

你装的daemon tools 当然就有FSD hook了而且这个驱动是会变名字的 spXX.sys

显示全部楼层 · 发表于 2010-7-1 15:58:52

本帖最后由 jefffire 于 2010.7.1 16:10 编辑

回复 1楼 wjcharles 的帖子

而且如果确实是Win32/Alureon.H 的话，替换了系统atapi.sys文件，驱动加载还是能拦住的（不能完全检测到所有步骤，但只要拦住一步就算成功了），但是一旦被加载一般的ARK检测不出来。所以LZ你是先运行了再杀的吧。。

显示全部楼层 · 发表于 2010-7-1 16:18:45

本帖最后由 wjcharles 于 2010.7.1 16:20 编辑

你装的daemon tools 当然就有FSD hook了而且这个驱动是会变名字的 spXX.sys
jefffire 发表于 2010.7.1 15:55

虚拟光驱的问题在那个帖子里已经说了，是我被误导了。。。

在windows的安全模式下MSE报Win32/Alureon.H的来源是RDPCDD.sys这个文件，而在正常模式下MSE报的路径只是rootkit：RDPCDD，应该跟atapi.sys没关系，可能是MSE报的名称有问题吧
那几个驱动、进程、文件、注册表防火墙我从来都没关过，就是怕被加驱

，不过360其他功能部分关了，可能会有影响吧。。。

显示全部楼层 · 发表于 2010-7-1 16:28:59

虚拟光驱的问题在那个帖子里已经说了，是我被误导了。。。
在windows的安全模式下MSE报Win32/Alur ...
wjcharles 发表于 2010.7.1 16:18

360防加驱绝对是有一套的，不知道你的试毒流程是怎么样的，360的日志能发一个么？还有你不是把诺顿的高级事件控制也开了么？没一点提示？

[讨论] NIS+MSE被穿透，实机试毒的教训啊。。。