查看: 15458|回复: 26
收起左侧

木马病毒查杀三剑客(请用cnnic变种和克邻大盗做对比测试-小心中毒!!!)

[复制链接]
ooo-ppp
发表于 2007-5-1 11:29:35 | 显示全部楼层 |阅读模式
首先介绍一问无名、初出茅庐、尚在襁褓中的反毒新军狙剑5013
      
      1、在右下角托盘图标,右键单击设置系统监控中,选中暂时锁定系统,把系统临时锁起来,不允许任何程序对注册表进行写入,还可以禁止进程创建、文件创建。(注意杀毒后要解除锁定,否则其他软件无法使用,只好重启)
     
     (锁定系统时,开放了Winlogon.exe没锁定,原因是锁定后,系统将不能关机。但危险的是,注入Winlogon.exe后对系统的修改也将被放行。新版改为了全部锁定,这样虽然无法正常关机,但也不存在安全漏洞了。不能关机就等5秒后按 Reset 吧,没办法两全了。)
      
      2、打开主窗口,先检查内核---内核服务(ssdt)、底层函数(shadow)、文件系统(fsd),看看有无被hook项目(通过  列出可疑项检查),注意有些是杀毒及监控软件的,如有病毒或者流氓软件的恢复之。(注意有的项目既被ssdt-hook又被inline-hook了,先恢复ssdt-hook,接着再重复检查恢复inline-hook项目)
     
      3、然后进入注册表---自启动程序,数字签名验证后,隐藏微软签名项,检查与病毒及流氓软件的相关项目后,清除启动项。
      
      4、重启(reset)。接下来进入进程管理,扫描非系统模块后,针对病毒及流氓软件模块,反注册组件后,卸载并删除。
   (如有困难,可清除自启动项后,重启后,再次锁定系统,再清理进程的模块,删除有关文件,清理注册表)
     
     
      5、如需要进入安全模式,不能进入带网络连接等模式。
   
      6、对于驱动级病毒要先按步骤2恢复hook后,才能对内核模块停止运行,卸载删除,或禁用后重启,再操作,否则蓝屏的干活。如此几次即可搞定。尤其是技术含量很高的高级木马,某用狙剑将臭名昭著的cnnic,监控软件ssm,卡巴斯基都干掉了,威力不错,故推荐之。
     
        7、对于有文件回写功能及受保护的病毒,可以用釜底抽薪的妙计。别急,某也是在狙剑作者的朋友指点下,才刚刚会用。就是用文件---磁盘文件功能,到具体所要删除文件目录下,如:cnnic的驱动--c:\windows\system32\dirvers\cdnprot.sys,选中它,右键的菜单中选中破坏文件,而不是删除文件,这样病毒等以为文件还在呢,平安无事了,其实文件已失去功能,也就使回写功能,变成沙漠的猴子--狒狒,高,实在是高,作者真有才呀

       有机会到  http://www.zhulinfeng.com/bbs (下载新版狙剑),也可发贴请神秘作者斑竹答复,一定会的,再下载木马查杀图解攻略,相信会有惊喜的,不试不知道。放心,免费的,时间有点限制,但是扫毒已经够用了。
   
      如想快速查看,进程,驱动,搜索隐藏文件,删除文件及文件夹,功能多多的安全检查,集成注册表编辑功能,新加入重启删除文件和DOS删除文件功能,请用新出炉的Wsyscheck (0724中英文版皆有)(http://free.ys168.com/?wangsea),Wangsea正在强化中,愈来愈稳定,愈来愈强大。
      
     再用360文件粉碎工具(最新1.6.0003版mj0011编写),不论文件使用否,号称可删除一切文件的(http://bbs.360safe.com/viewthread.php?tid=164748&extra=page%3D1),有此三剑客,天下无敌了???

      嗨!朋友,试一试如何,如果有点意思,请给些建议如何,谢谢了!!!

[ 本帖最后由 ooo-ppp 于 2007-8-8 08:58 编辑 ]
三剑客靓照.JPG

狙剑推广版8.4.rar

129.75 KB, 下载次数: 289

评分

参与人数 1经验 +5 收起 理由
ALEXBLAIR + 5 感谢提供分享

查看全部评分

dianshixs
发表于 2007-5-1 20:14:32 | 显示全部楼层
学习.....
飘蓝一尘
发表于 2007-5-1 20:47:09 | 显示全部楼层
刚在哪里看过,谢谢
ooo-ppp
 楼主| 发表于 2007-5-5 20:53:08 | 显示全部楼层

细说



[ 本帖最后由 ooo-ppp 于 2007-5-6 20:37 编辑 ]
ooo-ppp
 楼主| 发表于 2007-5-6 20:40:32 | 显示全部楼层

回复 #4 ooo-ppp 的帖子

原帖由 番茄骑士 于 2007-5-2 14:25 发表
软件这么小,没有问题吧??下下来看看好用不


狙剑是纯粹的汇编语言写的,体积小效率高是汇编语言程序的特性。
狙剑的目标是将程序的大小尽可能的控制在200K以下。
ooo-ppp
 楼主| 发表于 2007-5-16 19:57:19 | 显示全部楼层
狙剑作者的朋友对狙剑的文件管理解释说明
     
问题: 好像有几个功能不能用啊!
        说什么驱动装入失败啊!
        到底是怎么回事啊??
        郁闷……………………
      
        那是机器上有限制驱动装入的程序存在,一个可能是安全程序为了保护系统而限制程序装入,一个可能是木马为了保护自己而限制程序装入。
        如果是安全程序那就没关系了,如果是木马,那肯定是驱动级的木马了,可以在狙剑的自启动项中找到那可疑的驱动加载项(狙剑是绕过系统注册表读写服务采用的HIVE文件直接分析读取技术来实现驱动加载项检查的,所以即使驱动没有装入,想在狙剑的自启动项中隐藏驱动加载项也几乎是不可能的
      
        找到后,如果此驱动进行了自我保护,那么由于狙剑的驱动无法装入,可能你是无法删除它的。那么,请在“文件管理”功能中找到驱动文件,然后选择“破坏文件”功能来破坏此文件。
     (狙剑的文件管理是直接分析NTFS或FAT32系统,从磁盘扇区中读取文件得到的文件列表,破坏文件是直接从磁盘上将文件的数据清零,所以,想逃过狙剑的文件检测与文件破坏也几乎是不可能的。破坏后,你如果想验证,可以用十六进制编辑器或写字板打开被破坏的文件,会发现里面全是零,已经没有任何有效数据。为了防止文件回写,狙剑并没有删除此文件,破坏后,重启系统,该驱动就已经无用了,可以手动删除。原理与效果跟剑盟的那个DOS下删除没什么区别,只是不用进DOS了而已)

[ 本帖最后由 ooo-ppp 于 2007-5-19 06:27 编辑 ]
kbsj00
发表于 2007-5-24 01:06:53 | 显示全部楼层
学习过了,谢谢
一派胡言
发表于 2007-5-24 23:01:00 | 显示全部楼层
点进程管理,系统清理,系统修复等时就出来这个.
tu.JPG
ooo-ppp
 楼主| 发表于 2007-5-25 06:24:42 | 显示全部楼层
不要在RAR压缩包里直接运行,解压后运行,有些电脑需要重启试试。

有个挺恶心人的木马就是禁止所有第三方驱动装入的~
只要它先进入了系统,就不再允许其它驱动的装入。
还有的安全软件也会禁止其它驱动的装入。


由于恶意程序禁止了第三方驱动的加载,而导至安全软件无法装入驱动时,可以使用此程序进行偿试性修复,此程序的运行无须驱动。
但请注意,这仅是偿试性修复,赌的是恶意程序作者粗心而没有做相关限制。因为能禁止驱动加载同样也能禁止应用层程序对SSDT的恢复。
使用很简单,双击运行此程序,会打开一个CMD窗口,里面会提示有哪些服函被HOOK,并询问你是否修复。输入“Y”然后按回车,即可完成。修复后再运行安全程序,看是否已经可以装入驱动。

如还有疑问,请到http://www.zhulinfeng.com/bbs发贴解决,某是个菜鸟,报歉了。

200742423422141073.rar

18.92 KB, 下载次数: 126

DDT12345678
发表于 2007-5-28 04:31:12 | 显示全部楼层
来个玩玩
先谢了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 00:26 , Processed in 0.149893 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表