看到这几个字,有点怪怪的吧,什么叫假如江民2008是“病毒”……啊?大家都知道,在和平年代国家为了保持军队的战斗力,那就会时不时的搞些军事演习,演习中一般分为红蓝两方,对方就是你的假想敌人,在演习中你就得把这个假想敌人灭掉。
那今天我们就把这种模式搬到IT行业中来试试,玩玩这个假想“病毒”!2007年有期《电脑报》里江民不是被评为最高4A佳绩吗,呵呵~~这说明江民就不是随便盖滴!这里我们就以江民为例吧,还请大家多多指点。江民的粉丝们别乱扔砖头啊。
安装好江民后就可以开始进攻了。首先在任务栏里删除江民的kvsrvxp.exe或KVMonXP.kxp程序,会显示无法中止进程。如图:
嗯!看来江民做得不错,我们要从任务栏进程发起攻击是搞不定它的(这不废话吗,要是在进程里都被你干掉了,那还有得混?),既然删进程不行那就试试直接删你的文件,呵呵~~这个大家不想都知道,在江民还在使用过程中要删除其文件那也是没门的。笔者试过了,不管关不关掉江民监控中心(就是关掉KVMonXP.kxp,但还有个kvsrvxp.exe),除了江民的Data文件里的文件(该文件夹下的可能是江民的一些数据和日志,其所有文件都能删,但该Data文件夹不能删)外,其它任何一个删不掉。如图:
删不掉?仅仅是因为它还有程序在使用中吗?没这么简单,这是因为江民修改了NtOpenFile函数,通过SSDT挂钩方式来保护其文件不被恶意删除。
也删不掉它文件,那就再来服务里试试,改变或停掉它的服务类型,一般的杀软用服务管理器改变其服务类型差不多都能搞定。立马找到服务—>KVSrvXP—>右击属性—>启动类型,改为手动或禁用,晕~~这也拒绝访问,这如果是病毒的话……汗~~
为什么改不了江民的服务启动类型呢?打开IceSword,在SSDT里也可找到红色的江民修改的NtSetValueKey函数。
好,到这里我们知道了为什么干不掉假想“病毒”——江民了,它主要是利用SSDT挂钩方式来保护其进程、文件及服务。我们只要恢复被它修改的SSDT挂钩,那我们就可以……嘿嘿,想干嘛就干嘛了。
在IceSword里设置禁止进线程创建,然后找到SSDT项,选中所有被江民修改的项(显示为红色的项)修复,这时会发现不管是在Process Explorer里还是在IceSword里仍然还不能删除它的进程也不能改动它的服务?而且IceSword里刚恢复的那些SSDT挂钩过一会又被还原了,又是一片红……要是这是病毒,这些方法还搞不定的话,那真晕了。后面就想到,在进程这些操作了是不是也重启才能生效呢?于是重启,哈哈~~这个假想“病毒”果然服输给干掉了,不过江民也真够人折腾的,我也服了!
说在最后:
说了上面那么多还没说到点子上,罪过,罪过。
最开始是源于江民安装后服务默认的是自启动,一开机就有个kvsrvxp.exe进程,由于不想看到这家伙,因为平时没用而它又占用资源,但又不想卸载,所以……其实这个假想“病毒”试验,一是要看看江民的自我保护能力,更重要的则是通过这个假想“病毒”试验来映射出如何清除顽固病毒。
顽固病毒,到底顽固在哪里?
首先,顽固病毒的进程、文件(可能隐藏进程及文件)及相关的注册表键值无法删掉(病毒自我保护),其次,杀毒软件反复杀,也杀不掉,清不完(病毒自我复制再生能力强)。
那么是什么原因导致病毒顽固清除不掉?
1、远程线程注入到某个进程(如Explorer.exe 或其他系统进程);
2、驱动加载,一般权限无法操作;
3、挂钩SSDT,实时监控并恢复相关的注册表、文件内容;
4、挂钩ShellExecuteHooks,使用Explorer 资源管理器自动加载其病毒本身;
5、挂钩Svchost.exe系统服务中,注册ServiceDLL,或篡改系统正常的ServiceDLL;
6、挂钩WinSock LSP;
7、病毒体随机性,以*door?.dll 的形式变换;
8、PE可执行文件感染型,如熊猫烧香。
那剩下的就只要根据电脑的实际情况,利用所知所学,用杀毒软件再配以必要的辅助工具,如IceSword、Process Explorer、Wsyscheck 、WinHex……等,我想就算它再狠也还是狠不过你吧!
PS:如果是某顽固病毒的话,我们还可以用终截者实验室出品的一个强力删除工具《xDel》来试试,该工具可以通过修改句柄权限的方法删除文件、发送IRP删除文件或直接破坏文件的头512字节来达到破坏病毒文件的目的。
| 1、本网所发布的一切资源,旨在服务网友,其来源包括收集、原创、分享等途径,如果您认为触犯到您的权益,请来信批评指正。
2、凡转载自其他媒体,或为网友投稿的资料,其目的在于促进信息交流,并不代表本网赞同其观点和对其内容的真实性负责。 3、如因作品内容、版权或其他问题需要同本网联系,请在30日内进行。联系QQ:946734 |
♀ 木马肆虐应该如何应对? (07-25)
♀ 假如江民2008是 (06-11)
♀ 05.21病毒快报:天眼广告控制后门 (05-24)
♀ 解决卡巴斯基误杀导致winnet丢失 (05-24)
♀ 5.19病毒快报:办公室伪装者 (05-24)
♀ 怎样才能彻底屏蔽恶意网站地址? (05-24)
♀ QQ尾巴广告器骗用户点击挂马网址 (05-24)
♀ 仿冒腾讯建立诈骗网页利用震灾敛 (05-24)
♀ 播放器漏洞下载者用漏洞下载病毒 (05-24)
♀ 小偷下载器下载大量木马程序 (05-24)
♀ 卡巴斯基近20种实用使用方法放送 (05-11)
♀ 文件夹邮递员伪装文件夹发送病毒 (05-11)
♀ 大蜘蛛成功侦查病毒Win32.Ntldrb (05-09)
♀ 梦幻西游盗号木马下载病毒并盗号 (05-07)
♀ 瑞星杀毒2008主动防御的详细设置 (05-07)
♀ 卡巴斯基6.0key杀毒软件下载 (05-07)
♀ 卡巴斯基6.0下载卡巴斯基6.0key (05-07)
♀ 卡巴斯基Kaspersky 6.0半年免费 (05-07)
♀ VBS脚本病毒原理分析与防范 (1 (05-07)
♀ 104种木马的清除方法 (05-07)
♀ 木马肆虐应该如何应对? (07-25)
♀ 假如江民2008是 (06-11)
♀ 05.21病毒快报:天眼广告控制后门 (05-24)
♀ 解决卡巴斯基误杀导致winnet丢失 (05-24)
♀ 5.19病毒快报:办公室伪装者 (05-24)
♀ 怎样才能彻底屏蔽恶意网站地址? (05-24)
♀ QQ尾巴广告器骗用户点击挂马网址 (05-24)
♀ 仿冒腾讯建立诈骗网页利用震灾敛 (05-24)
♀ 播放器漏洞下载者用漏洞下载病毒 (05-24)
♀ 小偷下载器下载大量木马程序 (05-24)
♀ 卡巴斯基近20种实用使用方法放送 (05-11)
♀ 文件夹邮递员伪装文件夹发送病毒 (05-11)
♀ 大蜘蛛成功侦查病毒Win32.Ntldrb (05-09)
♀ 梦幻西游盗号木马下载病毒并盗号 (05-07)
♀ 瑞星杀毒2008主动防御的详细设置 (05-07)
♀ 卡巴斯基6.0key杀毒软件下载 (05-07)
♀ 卡巴斯基6.0下载卡巴斯基6.0key (05-07)
♀ 卡巴斯基Kaspersky 6.0半年免费 (05-07)
♀ VBS脚本病毒原理分析与防范 (1 (05-07)
♀ 104种木马的清除方法 (05-07)
♀ Mytob变种BD海外归来最新变种席 (05-07)
♀ 报告:美国全民身患“电子邮件中 (05-07)
♀ QQ“艳照门”病毒分析及解决办法 (05-07)
♀ 工具箱蛀虫感染程序并打开后门 (05-07)
♀ 色情网站全打倒之三大步骤 (05-07)
♀ 上网要注意防范隐藏在网页的病毒 (05-07)
♀ 360安全卫士初始化失败的解决方 (05-07)
♀ 飘雪恶意程序猖獗 360发布专杀工 (05-07)
♀ 冒充专家门诊 “婚礼”病毒最新 (05-07)
♀ 简单几招对付捆绑木马的技巧 (05-07)
♀ “六步法”彻底将“熊猫烧香”赶 (05-07)
♀ 自己动手 删除病毒在计算机中的 (05-07)
♀ NOD32 AntiVirus v2.70.37 发布 (05-07)
♀ 伪装法正版反病毒软件特洛伊木马 (05-07)
♀ 专家警告上网慎点美女JPE图片 (05-07)
♀ 卡巴斯基6.0key杀毒软件下载 (05-07)
♀ 从修复about:blank默认页面到RES (05-07)
♀ 震荡波及冲击波病毒专杀工具 (05-07)
♀ recycle.exe病毒手动解决的方法 (05-07)
♀ 简简单单两步法 誓把天下流氓都 (05-07)
♀ 回头的爱 (08-26)
♀ 回头的爱 (08-26)
♀ 猪八戒探亲 (08-12)
♀ 不知错的吴志 (08-12)
♀ 阿P的小聪明 (08-12)
♀ 哭嫁 (08-12)
♀ 借 (08-12)
♀ 房子有鬼 (01-01)
♀ 红包缘 (08-12)
♀ 猛男兄 (08-12)
♀ 真假难辨 (08-12)
♀ 中学趣事(八) 不想结婚 (08-12)
♀ 阿风擒贼记 (01-01)
♀ 厕所问题 (08-12)
♀ 歪打正着 (08-12)
♀ 阿P重庆当棒棒 (08-12)
♀ 高档身份 (08-12)
♀ “精包装”征婚 (08-12)
♀ 难忘的地理课 (08-12)
♀ 中学趣事(九) 中老年妇女的偶 (08-12)
全文检索