查看: 1410|回复: 8
收起左侧

[求助] 用XT的进来看一下

[复制链接]
chye
发表于 2011-4-8 23:29:27 | 显示全部楼层 |阅读模式
有时候会看到一个进程,但是那个文件又不存在
这是怎么回事呢?
FreeEquFraT
发表于 2011-4-8 23:32:37 | 显示全部楼层
有可能是进程创建后就把自己的文件给删掉了。
pxb_ruby
发表于 2011-4-9 00:42:05 | 显示全部楼层
用,但不懂,帮顶了
z13667152750
发表于 2011-4-9 03:25:39 | 显示全部楼层
2L正解

安全软件经常这样做,还有一些系统的驱动也是这样
kanfan007
发表于 2011-4-9 12:19:53 | 显示全部楼层
是二楼的解释
leisong
发表于 2011-4-9 12:27:41 | 显示全部楼层
进程和驱动文件不存在的话要注意一下,病毒喜欢删除自身,当然XUETR自己的驱动也是删除的,自己排除一下
沙茶不辣
发表于 2011-4-9 13:38:37 | 显示全部楼层
没有明白!
找不到新用户名
发表于 2011-4-9 13:51:01 | 显示全部楼层
假设进程是系统工作的承包商,这样就是承包以后却解散了……
有的软件会在创建后删除自己的文件,也有可能是被其他软件删掉了他的进程文件。就像昨天远程处理一个病毒时病毒在创建进程后杀毒软件被删除了,也是一个文件不存在
KiAcler
发表于 2011-4-9 15:11:22 | 显示全部楼层
本帖最后由 KiAcler 于 2011-4-9 15:11 编辑

有很多可能。
常见的应该是运行之后又把自己移走了或者删掉了(关个句柄或直接IRP即可)
还有以前在学校貌似有见过一个病毒是把可执行文件直接释放到内存加载。(这绝对不是不可能的,自己多看看loader就有头绪了,看雪也有人发过src)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:35 , Processed in 0.169694 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表