以xt来恢复钩子后。。。

显示全部楼层 · 发表于 2010-8-18 18:32:29

楼主有样本不，把样本发来看看啊
163的邮箱名：linxer
谢谢

显示全部楼层 · 发表于 2010-8-18 19:23:54

本帖最后由 liulangzhecgr 于 2010.8.18 19:47 编辑

回复 11楼 Deker 的帖子

我在这里贴出样本恐怕不行啊？！
给个阅读权限？！。。。干脆给你毒霸链接地址吧！

这是听说剑盟那边手杀病毒活动。。。！
链接地址：剑盟的手杀病毒活动

其实我用filetools,火流星两次运行病毒后删除病毒驱动文件都成功！只是用xt没法删除。。。？！试过重启删除之类的。。。还是不好使！只好跟卡饭求救。。。？！

显示全部楼层 · 发表于 2010-8-18 19:53:26

本帖最后由 liulangzhecgr 于 2010.8.19 06:22 编辑

回复 7楼 smilediy 的帖子

用xt拷贝内存。。。提示：失败！

用filetools底层拷贝文件。。。提示：失败！

都失败告终！

显示全部楼层 · 发表于 2010-8-18 21:56:55

回复 13楼 liulangzhecgr 的帖子

还有个inline hook

显示全部楼层 · 发表于 2010-8-19 06:09:03

本帖最后由 liulangzhecgr 于 2010.8.19 10:22 编辑

回复 14楼 smilediy 的帖子

?!

我总共运行三次病毒。。。一次出现与内核钩子挂钩其余两次没有与内核钩子挂钩。。。

你指的是内核钩子？！

这是第三次运行病毒后的进程模块：

内核模块：

显示全部楼层 · 发表于 2010-8-19 11:00:09

回复 15楼 liulangzhecgr 的帖子

是的，

显示全部楼层 · 发表于 2010-8-19 12:34:01

回复 16楼 smilediy 的帖子

我第一次运行病毒！查出来的！。。。检测时漏看而查杀时发现故没有图片（因为本工具配置全部打上勾所以要运行画图板受阻。。。！）
可第二，三次运行时检查内核钩子。。。没有查出与内核钩子挂钩。。。

真是话说不通。。。

。。。

显示全部楼层 · 发表于 2010-8-19 12:37:15

回复

是的，
smilediy 发表于 2010.8.19 11:00

你这是第一次运行病毒情况吧？！
第二，三开始也许不一样。。。

我这是实机上运行的啊！

显示全部楼层 · 发表于 2010-8-20 20:13:45

？？？

显示全部楼层 · 发表于 2010-8-20 21:54:54

回复 13楼 liulangzhecgr 的帖子

底层拷贝时保存文件名不使用原先的驱动文件名就可以拷贝成功了。。。

[求助] 以xt来恢复钩子后。。。