以xt来恢复钩子后。。。

liulangzhecgr

回复 20楼 olly  的帖子

filetools作者出面啦！我很荣幸！不使用默认的文件名换个名字保存成功。。。学了一招！怎么想出来的。。。毕竟是功力深厚！
我运行三次！两次用火流星！最后一次用filetools删除此驱动！
xt来恢复钩子，刷新，显示又挂钩。。。等于没有恢复一样！驱动也是没法删除。。。
试过恢复钩子，删除系统回调了吗？！

deker能否帮我解决呢？！

liulangzhecgr

病毒引起恢复钩子，删除系统回调失效还是其他原因呢？！

左寒

回楼上，你的困扰还是得提供样本才好解决，毕竟你的截图只能反映一个时候的状况，有了样本，自己运行或者拿软件跟踪这样才够直观，才能帮上你的忙。

话说我也很好奇为什么会这样呐，你就传个样本给大牛吧，若有问题也方便大牛发现并及时更新啊！！

liulangzhecgr

回楼上，你的困扰还是得提供样本才好解决，毕竟你的截图只能反映一个时候的状况，有了样本，自己运 ...
左寒 发表于 2010.8.25 13:53

12#有样本链接地址啊。。。！11#是大牛的回帖！大牛手中有无样本。。。我不清楚！

Real_FlowerCode

呃，剑盟那个帖子里我不是给出解决方案了么，XueTr 0.36 可以处理，较老的版本无法发现文件系统内联挂钩。

主要是有两个系统线程循环监视并恢复挂钩，可能还回写文件，且被结束后会自动创建新线程。

那个驱动属于 Reload 技术加载的，复制内存也没什么用。

liulangzhecgr

呃，剑盟那个帖子里我不是给出解决方案了么，XueTr 0.36 可以处理，较老的版本无法发现文件系统内联挂钩。
...
Real_FlowerCode 发表于 2010.8.27 07:13

我没有剑盟的id 啊。。。！

liulangzhecgr

0、查看挂钩 CmpParseKey 的驱动文件名
1、按驱动文件名挂起 System 进程内所有相关线程
2、摘除 IRP_MJ_CREATE 文件系统挂钩
3、摘除 Fastfat.sys/Ntfs.sys 内联挂钩
4、按驱动文件名删除相应文件和服务项，重启

以上操作使用 Windows XP SP3，XueTr 0.36 验证通过。

1次：内核钩子没有留图！。。。可惜


2次3次差不多，贴第3次的图：
此两次中没有发现与内核钩子挂钩的情况。。。！


一共3次运行过程中。。。始终没有查看system进程中的进程线程（按驱动文件名挂起 System 进程内所有相关线程）！而查看过进程模块！ 。。。现在回想起来也忘了查找模块。。。