WSYSCHECK和POWERTOOL2.3 、狙剑被绕过了，天琊、YAS、SysReveal、XUETR、冰刃可测

显示全部楼层 · 发表于 2010-10-7 09:36:29

SysReveal测出，恭喜一下，就是那个不断刷新的BUG能不能修改一下，CPU卡在100%，XP SP2系统

该模块呈灰色的不一样的颜色，是否代表隐藏啊？？

显示全部楼层 · 发表于 2010-10-7 09:46:35

本帖最后由 leisong 于 2010.10.7 10:03 编辑

另RootkitUnhooker 安天的ATOOL被绕

显示全部楼层 · 发表于 2010-10-10 19:01:15

回复 12楼 leisong 的帖子

检测什么文件被绕？

显示全部楼层 · 发表于 2010-10-10 19:22:05

看了下，加载dll根本没用什么特殊的方法吧，是个ark估计就能检测到

显示全部楼层 · 发表于 2010-10-10 19:50:56

回复 14楼 evilrabbit 的帖子

是运行主楼的样本注入的吗？那个注入的DLL分明是字母是数字随机组合的，你这个貌似不是的
还有XUETR的那个DLL显示为红色吗？红色貌似是隐藏的吧
我查的很仔细了，你有没搞错样本？

显示全部楼层 · 发表于 2010-10-10 19:54:03

本帖最后由 dl123100 于 2010.10.10 19:55 编辑

IceSword能找到的话 VmMap应该也能找到另外RKU最新版应该是可以的

显示全部楼层 · 发表于 2010-10-10 19:59:18

回复 14楼 evilrabbit 的帖子

随机命名的DLL网上找不到信息，因为每次运行都不一样
而你的那个DLL网上有信息，你确认你没搞错？

我测过几遍，并仔细查看过了，应该没有搞错，除非我有特大RP问题，就是和一些ARK不合

显示全部楼层 · 发表于 2010-10-10 20:04:07

没错，样本是从毒霸论坛里下的

显示全部楼层 · 发表于 2010-10-10 20:10:03

果然得多学习啊

显示全部楼层 · 发表于 2010-10-10 20:28:49

本帖最后由 evilrabbit 于 2010.10.10 20:49 编辑

你给的帖子里样本就那一个，不可能搞错吧、-----------------------------------------------------------
找到你的测试方法了，你是又把样本解压了一遍，在已经中毒的环境下继续双击样本，结果才会出现这样的提示。
其实该dll并未隐藏。你直接定位到那个dll所在地文件夹看下。呵呵

不过没过sysnap和天琊。，你把天琊枚举模块方式设置成第二种，试试看
                                 sysnap设置为显示所有模块
猜测有几个原因 1 某些ark检测已加载的dll程序存在问题
                  2 . 该tdss rootkit对ark检测程序造成干扰了
                  3. 要不就是xuetr检测隐藏的dll 存在bug。

[讨论] WSYSCHECK和POWERTOOL2.3 、狙剑被绕过了，天琊、YAS、SysReveal、XUETR、冰刃可测