两个explorer.exe...能否判断真假？！

显示全部楼层 · 发表于 2010-9-20 19:14:35

用XT终止两个桌面进程，然后在XT的文件项内找那个Windows文件夹内的桌面文件，复制出来看文件情况如何

病 ...
天月来了发表于 2010.9.20 19:02

这位（小姐？大姐？）说的是不是用底层复制文件到别处用数字验证工具检测是不是这个意思？！

显示全部楼层 · 发表于 2010-9-20 19:27:43

回复
　　请相信数字签名的结果，不是说谁有数字签名，而是谁有微软的数字签名。
穿越星空发表于 2010.9.20 19:09

系统文件夹下的文件通过数字签名验证！
我知道文件图标是可以更改的。。。
上次卡饭竞赛时甲虫病毒还是哪个病毒。。。更改系统图标了吧！
可是有数字签名的文件怎么没有厂商的名称而厂商处留个空白呢？！
且金山网盾检查系统文件时报系统文件夹下的explorer.exe异常？！
真糊涂！。。。病毒删除正常文件的厂商的话不应该通过数字签名验证吧？！

显示全部楼层 · 发表于 2010-9-20 19:28:23

回复 21楼 liulangzhecgr 的帖子

很简单的道理，两个都在线多引擎扫描便知，这东西不能乱猜。

显示全部楼层 · 发表于 2010-9-20 19:28:39

是呀

就是将那文件实际复制出去，拿别地儿看看如何

病毒会折腾内核，让一些工具误判断

一般来说，如果是木马群病毒影响，基本上靠经验看，那临时文件夹内的也是不正常的。

显示全部楼层 · 发表于 2010-9-20 19:32:50

回复

很简单的道理，两个都在线多引擎扫描便知，这东西不能乱猜。
mr.liu 发表于 2010.9.20 19:28

这个。。。我当时没有想到！
用xt删除映像劫持后能用网盾，应该可以用多引擎扫描的。。。当时没有想到这一点！

显示全部楼层 · 发表于 2010-9-20 19:34:31

回复 25楼 liulangzhecgr 的帖子
我不知道那个explorer是不是恶搞的所以没告诉你

直接去样本区上面的多引擎都扫一遍吧

显示全部楼层 · 发表于 2010-9-20 20:08:37

回复 22楼 liulangzhecgr 的帖子
　　我也被你搞晕了，我用的是Windows XP SP3，安装了最新补丁，Explorer.exe的哈希值如下：
　　MD5：9EB867933136AD37EAF7F2ECB97E3A4D
　　SHA1：093F197FB5CB92FAE6CB8EB0C584D4DEB94438D2

显示全部楼层 · 发表于 2010-9-20 20:21:57

LZ，去网上下载一个explorer.exe
然后直接把2个都kill了吧，然后复制下载的到windows目录，然后用hips 保护起来。

显示全部楼层 · 发表于 2010-9-20 20:26:11

本帖最后由 nwzzz 于 2010.9.20 20:29 编辑

第三个是正常的因为由微软的数字签名
系统进程为黑色，未知进程为蓝色，危险进程为棕黄色

显示全部楼层 · 发表于 2010-9-20 20:31:34

第三个是假的

[讨论] 两个explorer.exe...能否判断真假？！