楼主: 星空下的吻
收起左侧

[分享] [恶意软件分析文章]TDSS. TDL-4

  [复制链接]
byxxdrls
头像被屏蔽
发表于 2011-1-30 21:34:52 | 显示全部楼层
天书。

只看到样本,没遇到中毒机。
chenlingf22f35
头像被屏蔽
发表于 2011-1-31 11:25:19 | 显示全部楼层
牛人啊,我该怎么学呢
liangxy
头像被屏蔽
发表于 2011-1-31 12:23:28 | 显示全部楼层
还是没明白怎么绕过64位系统保护的,是修改内存,进入pemod么?这样不会在桌面显示么?
青草香
发表于 2011-1-31 18:21:46 | 显示全部楼层
回复 9楼 kxmp 的帖子

准备ARK工具也没用。
加载后它就挂钩了系统函数,ARK工具也是通过挂钩系统函数来检查的。结果就是,要么它的挂钩摘不掉,ARK工具失效,要么是两个打架,系统蓝屏!而且看描述里面,这东西会在工具检查的时候返回正常的文件和隐藏对自身所在扇区的检查,普通的ARK很难搞定它!
kxmp
发表于 2011-1-31 19:12:51 | 显示全部楼层
回复 24楼 青草香 的帖子

我就是要玩
z周猩猩
发表于 2011-2-2 02:04:59 | 显示全部楼层
看不懂,我来学习了。
huhawe
发表于 2011-2-2 14:53:39 | 显示全部楼层
看不懂,支持下,大蜘蛛反rookit还是蛮牛的
nazisoft
发表于 2011-2-2 21:36:24 | 显示全部楼层
这篇文章还真是深奥,只看懂了一小部分,估计对很多人 来说是天书吧。
随着黑客技术的不断提高,引导型病毒再次回归,为我们这些菜鸟敲响了警钟啊
利用感染MBR和某些扇区,病毒可以隐藏得更深,从而避免被一些安全防护软件检查到。
最近,在网吧零星出现还原被穿透现象,幸好被穿后硬盘无法引导。经过检查,MBR被修改,硬盘未分配空间被写入大量代码,而且都是加密的。[:27:]
但是这些病毒也是最容易被清除的,插入U盘进PE,重写MBR,填充扇区就搞定了。
ngr0402
发表于 2011-2-17 14:25:35 | 显示全部楼层
daxue 没好好学,看不懂
F-secure2009
发表于 2011-2-17 22:59:33 | 显示全部楼层
完全看不懂……太深了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 05:49 , Processed in 0.094055 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表