楼主: leisong
收起左侧

[讨论] WSYSCHECK和POWERTOOL2.3 、狙剑被绕过了,天琊、YAS、SysReveal、XUETR、冰刃可测

[复制链接]
leisong
 楼主| 发表于 2010-10-7 09:36:29 | 显示全部楼层
SysReveal测出,恭喜一下,就是那个不断刷新的BUG能不能修改一下,CPU卡在100%,XP SP2系统

该模块呈灰色的不一样的颜色,是否代表隐藏啊??
leisong
 楼主| 发表于 2010-10-7 09:46:35 | 显示全部楼层
本帖最后由 leisong 于 2010.10.7 10:03 编辑

另RootkitUnhooker 安天的ATOOL被绕
evilrabbit
发表于 2010-10-10 19:01:15 | 显示全部楼层
回复 12楼 leisong 的帖子

检测什么文件被绕?
evilrabbit
发表于 2010-10-10 19:22:05 | 显示全部楼层
看了下,加载dll根本没用什么特殊的方法吧,是个ark估计就能检测到
leisong
 楼主| 发表于 2010-10-10 19:50:56 | 显示全部楼层
回复 14楼 evilrabbit 的帖子

是运行主楼的样本注入的吗?那个注入的DLL分明是字母是数字随机组合的,你这个貌似不是的
还有XUETR的那个DLL显示为红色吗?红色貌似是隐藏的吧
我查的很仔细了,你有没搞错样本?
dl123100
发表于 2010-10-10 19:54:03 | 显示全部楼层
本帖最后由 dl123100 于 2010.10.10 19:55 编辑

IceSword能找到的话 VmMap应该也能找到另外RKU最新版应该是可以的
leisong
 楼主| 发表于 2010-10-10 19:59:18 | 显示全部楼层
回复 14楼 evilrabbit 的帖子

随机命名的DLL网上找不到信息,因为每次运行都不一样
而你的那个DLL网上有信息,你确认你没搞错?

我测过几遍,并仔细查看过了,应该没有搞错,除非我有特大RP问题,就是和一些ARK不合
evilrabbit
发表于 2010-10-10 20:04:07 | 显示全部楼层
没错,样本是从毒霸论坛里下的
1013955504
头像被屏蔽
发表于 2010-10-10 20:10:03 | 显示全部楼层
果然得多学习啊
evilrabbit
发表于 2010-10-10 20:28:49 | 显示全部楼层
本帖最后由 evilrabbit 于 2010.10.10 20:49 编辑

你给的帖子里 样本就那一个,不可能搞错吧、-----------------------------------------------------------
找到你的测试方法了,你是又把样本解压了一遍,在已经中毒的环境下继续双击样本,结果才会出现这样的提示。
其实该dll并未隐藏。你直接定位到那个dll所在地文件夹看下。呵呵

不过没过sysnap和天琊。,你把天琊枚举模块方式设置成第二种,试试看
                                   sysnap设置为显示所有模块
猜测有几个原因 1 某些ark检测已加载的dll程序 存在问题
                      2 . 该tdss rootkit对ark检测程序造成干扰了
                      3. 要不就是xuetr检测 隐藏的dll 存在bug。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 09:15 , Processed in 0.091959 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表