0
2007/05/30 
10:33 
1892
因为某种需要,弄了个小马(表BS我,绝对不做伤天害理的事)
在做免杀的过程中,对一些杀软也有了更深刻的了解,谈不上心得,只能说是谈谈心情。
免杀过程中对主流杀毒软件的一点感受。。。
-------------------------------------------------------------------------
小红伞:
偶机器上安装的,当然得先过他吧
PEditor 改入口点,头部文件大小。。。加花指令,动态保护。。。。
过了,难度算不上很大,但也很艰辛了~~~~~~
-------------------------------------------------------------------------
卡巴:
小红伞过了,卡巴还可以杀...
改入口点,数据基地,头部文件大小,北斗3.7再加壳...
过了,终于过了~~~~~~
-------------------------------------------------------------------------
在做免杀的过程中,对一些杀软也有了更深刻的了解,谈不上心得,只能说是谈谈心情。
免杀过程中对主流杀毒软件的一点感受。。。
-------------------------------------------------------------------------
小红伞:
偶机器上安装的,当然得先过他吧
PEditor 改入口点,头部文件大小。。。加花指令,动态保护。。。。
过了,难度算不上很大,但也很艰辛了~~~~~~
-------------------------------------------------------------------------
卡巴:
小红伞过了,卡巴还可以杀...
改入口点,数据基地,头部文件大小,北斗3.7再加壳...
过了,终于过了~~~~~~
-------------------------------------------------------------------------
今天公司有位出差人员的本本中了这个NTdll32.dll的木马
经过分析,发现在系统内有一系列文件,但直接删除不了,注册表的相关项也删不了
搜索发现,网上有文章,其中提到Rootkit Unhooker,还有到安全模式等,
需要一个工具来清除Rootkit Unhooker
下载 Rootkit Unhooker :http://bbs.xueol.com/dispbbs_11_374_621_1.htm
主要有以下病毒文件:
systemroot\system32\NTDLL32.DLL
systemroot\system32\IEhelper.dll
systemroot\system32\IEShell32.dll
systemroot\system32\internet.exe
systemroot\system32\drivers\mspcidrv.sys
按F8进入安全模式
在注册表中搜索相关的病毒文件项删除,
进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,
然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,
将mspcidrv.sys所挂钩的服务移出(用rootkit unhooker工具 把mspcidrv.sys相关的unhook就可以了。),之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,
分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
重启机器后就OK了,当然你还可以进入x: windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。
**********************************
按照上面的说法。我的做法,不知道彻底清除了没有,不过不跳警告框了也不跳广告网页了。机器也快了。
1.先下了个Rootkit Unhooker,安装了。
2.进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,
3.“文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,然后就会运行那个unhook程序了。会有个框框出现很多服务什么的。我下了汉化的可是拷到安装完的文件夹下也没用上。英语的界面不是太认识,然后就在右侧发现了最后写着mspcidrv.sys的项一个一个都给unhook了。(注意这个不能在安全模式下做好像总出出错信息。它找不到driver)
4.重启按F8进入安全模式,把上面说的internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL这几个在注册表里查找了一下,有的好像没有。特别是iehelper没找到。有的就都给删掉了。或者是把值设置空。
5.还是在安全模式下。把前面说的文件夹下的相关文件都删除了 windows\system32\。能删哪个就删哪个吧。把 windows\system32\driver 下面的mspcidrv.sys给删除了,又新建了一个什么都没有写的这个文件。我假设它以后不会被自动覆盖,所以即使没有被彻底删除也是不能猖狂了吧。
经过分析,发现在系统内有一系列文件,但直接删除不了,注册表的相关项也删不了
搜索发现,网上有文章,其中提到Rootkit Unhooker,还有到安全模式等,
需要一个工具来清除Rootkit Unhooker
下载 Rootkit Unhooker :http://bbs.xueol.com/dispbbs_11_374_621_1.htm
主要有以下病毒文件:
systemroot\system32\NTDLL32.DLL
systemroot\system32\IEhelper.dll
systemroot\system32\IEShell32.dll
systemroot\system32\internet.exe
systemroot\system32\drivers\mspcidrv.sys
按F8进入安全模式
在注册表中搜索相关的病毒文件项删除,
进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,
然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,
将mspcidrv.sys所挂钩的服务移出(用rootkit unhooker工具 把mspcidrv.sys相关的unhook就可以了。),之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,
分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
重启机器后就OK了,当然你还可以进入x: windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。
**********************************
按照上面的说法。我的做法,不知道彻底清除了没有,不过不跳警告框了也不跳广告网页了。机器也快了。
1.先下了个Rootkit Unhooker,安装了。
2.进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,
3.“文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,然后就会运行那个unhook程序了。会有个框框出现很多服务什么的。我下了汉化的可是拷到安装完的文件夹下也没用上。英语的界面不是太认识,然后就在右侧发现了最后写着mspcidrv.sys的项一个一个都给unhook了。(注意这个不能在安全模式下做好像总出出错信息。它找不到driver)
4.重启按F8进入安全模式,把上面说的internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL这几个在注册表里查找了一下,有的好像没有。特别是iehelper没找到。有的就都给删掉了。或者是把值设置空。
5.还是在安全模式下。把前面说的文件夹下的相关文件都删除了 windows\system32\。能删哪个就删哪个吧。把 windows\system32\driver 下面的mspcidrv.sys给删除了,又新建了一个什么都没有写的这个文件。我假设它以后不会被自动覆盖,所以即使没有被彻底删除也是不能猖狂了吧。
这是一类能够产生数十亿美元金钱的骗局,甚至只要有百分之五的命中率就可以做到,它严重地威胁到客户与电子商铺之间的在线交易。而在那些犯罪者和安全防御人士之间的角逐就如同一场持续的猫鼠游戏——钓鱼攻击、信用卡、名牌欺骗攻击、电子欺骗攻击——总之无论你称它什么都好,无法避免的事实就是这类型的欺诈手段所带给我们的危险性是与日俱增的。
这些侵犯者有着他们自己可以支配的装备——包含在电子邮件内改写后的冒牌站点的看似无害的链接,诱使你输入敏感信息的弹出窗口,突然出现真实网址的伪装后的URL,还有那些当你输入用户名和密码时进行监视和捕获的装置。你并不是一定要成为一个技术精通者才能够保护自己免受钓鱼攻击,只要你能够对自己保持清醒的判断力,意识到并非互联网上所有的站点都是真实可靠的,那就足够了。下面我们就一起来看看44条关于反钓鱼攻击,保护自己的小贴士。
这些侵犯者有着他们自己可以支配的装备——包含在电子邮件内改写后的冒牌站点的看似无害的链接,诱使你输入敏感信息的弹出窗口,突然出现真实网址的伪装后的URL,还有那些当你输入用户名和密码时进行监视和捕获的装置。你并不是一定要成为一个技术精通者才能够保护自己免受钓鱼攻击,只要你能够对自己保持清醒的判断力,意识到并非互联网上所有的站点都是真实可靠的,那就足够了。下面我们就一起来看看44条关于反钓鱼攻击,保护自己的小贴士。
http://www.cnbeta.com/modules.php?name=News&file=article&mode=flat&sid=21200&plCk6=GCiik1D0CiY1
见习编辑hidecloud报道:
昨天刚刚进行完官网论坛程序升级的phpwind,今日被黑客组织x.25 Team攻陷,并在页面上留下:So Funny Bug___just a warning字样以示警告.我们的一位访客记录了该事件的全过程,详情请看下图:
请各位留意右下角的系统时间:
见习编辑hidecloud报道:
昨天刚刚进行完官网论坛程序升级的phpwind,今日被黑客组织x.25 Team攻陷,并在页面上留下:So Funny Bug___just a warning字样以示警告.我们的一位访客记录了该事件的全过程,详情请看下图:
请各位留意右下角的系统时间:
=====================================
首先从别的机器上下载系统补丁
http://www.microsoft.com/china/technet/security/bulletin/MS05-043.mspx
专杀有瑞星专杀,金山专杀或者是ewido anti-spyware。
拷到u盘上备用,U盘改为只读。
========================================
先说治理方法,过程:
1,ghost还原系统(无毒时候的备份),或者全新安装系统。
2,进桌面之后不要点我的电脑或其他盘(如是全新安装的系统不要着急装驱动),打开资源管理器(一定要从资源管理器打开)
3,打开并运行U盘(其他机器拷贝来的)里的两个威金专杀!!
4,运行修复viking感染文件,安装系统补丁。
=====================================================
首先从别的机器上下载系统补丁
http://www.microsoft.com/china/technet/security/bulletin/MS05-043.mspx
专杀有瑞星专杀,金山专杀或者是ewido anti-spyware。
拷到u盘上备用,U盘改为只读。
========================================
先说治理方法,过程:
1,ghost还原系统(无毒时候的备份),或者全新安装系统。
2,进桌面之后不要点我的电脑或其他盘(如是全新安装的系统不要着急装驱动),打开资源管理器(一定要从资源管理器打开)
3,打开并运行U盘(其他机器拷贝来的)里的两个威金专杀!!
4,运行修复viking感染文件,安装系统补丁。
=====================================================
