[恶意软件分析文章]TDSS. TDL-4

显示全部楼层 · 发表于 2011-1-30 21:34:52

天书。

只看到样本，没遇到中毒机。

显示全部楼层 · 发表于 2011-1-31 11:25:19

牛人啊，我该怎么学呢

显示全部楼层 · 发表于 2011-1-31 12:23:28

还是没明白怎么绕过64位系统保护的，是修改内存，进入pemod么？这样不会在桌面显示么？

显示全部楼层 · 发表于 2011-1-31 18:21:46

回复 9楼 kxmp 的帖子

准备ARK工具也没用。
加载后它就挂钩了系统函数，ARK工具也是通过挂钩系统函数来检查的。结果就是，要么它的挂钩摘不掉，ARK工具失效，要么是两个打架，系统蓝屏！而且看描述里面，这东西会在工具检查的时候返回正常的文件和隐藏对自身所在扇区的检查，普通的ARK很难搞定它！

显示全部楼层 · 发表于 2011-1-31 19:12:51

回复 24楼青草香的帖子

我就是要玩

显示全部楼层 · 发表于 2011-2-2 02:04:59

看不懂，我来学习了。

显示全部楼层 · 发表于 2011-2-2 14:53:39

看不懂，支持下，大蜘蛛反rookit还是蛮牛的

显示全部楼层 · 发表于 2011-2-2 21:36:24

这篇文章还真是深奥，只看懂了一小部分，估计对很多人来说是天书吧。
随着黑客技术的不断提高，引导型病毒再次回归，为我们这些菜鸟敲响了警钟啊

利用感染MBR和某些扇区，病毒可以隐藏得更深，从而避免被一些安全防护软件检查到。
最近，在网吧零星出现还原被穿透现象，幸好被穿后硬盘无法引导。经过检查，MBR被修改，硬盘未分配空间被写入大量代码，而且都是加密的。[:27:]
但是这些病毒也是最容易被清除的，插入U盘进PE，重写MBR，填充扇区就搞定了。

显示全部楼层 · 发表于 2011-2-17 14:25:35

daxue 没好好学，看不懂

显示全部楼层 · 发表于 2011-2-17 22:59:33

完全看不懂……太深了

[分享] [恶意软件分析文章]TDSS. TDL-4