快捷搜索:   nginx

清除pcshare驱动木马手记

俺也不敢说是彻底清除的,因为确实没有彻底清除,但是俺觉得比彻底清除要好,为什么,下文告诉你

   天本来测试pcshare木马呢,那天伤口给了我一个破解版本的,后来才知道是假得,配置了以后不能上线,我郁闷了,又担心着别人的套,所以打起精神查杀木马.这个木马号称无端口无进程的,果然很阴险的,很久以前测试pcshare的一个键盘记录器也是驱动隐藏的,费了老劲了~所以这次直接就用IceSword了
   说道IceSword,简直是极品杀马工具啊, IceSword使用大量新颖的内核技术,使得这些后门无处可躲, 具备反隐藏、反保护的功能(这句是网上抄来的:-d),我对作者真是佩服的不得了,对系统内核的研究应该排在国内前列了,至今没有谁感大声宣布,自己写的木马可以躲过IceSword,上次pcshare的管理员口出狂言,说只要他想写,直接HOOK IceSword的窗口,可以躲过IceSword,笑的我满地找牙,有本事真写一个出来看看,你能抓住他窗口那也算国际首创了,呼呼~又唠叨了继续
attachments/200508/07_121914_1.gif
    以看到红色的进程,程序带进程保护的,删掉一个又会生成一个,应该是互相监视所以不考虑这个了~直接找文件的源,exe文件源偶不知道在那里,也不知道有没有,反正我没找到,选IceSword的SSDT(系统服务描述符表),在这里可以看到红色的驱动的
attachments/200508/07_121937_3.gif
    试了,在windows下是看不到那个驱动的,废话,人家是国内’首创’的 IceSword有一个文件管理,这个文件管理同样也是RING0级别的,所以没有什么隐藏可以瞒过它的,记好那个可疑驱动的位置,打开IceSword的文件浏览器,找到,删除可疑驱动,ok
attachments/200508/07_122031_2.gif
    启~然后就大功告成
    然后我又测试pcshare,点击生成好的木马,竟然没反应了,木马文件不自己删除,也不运行,呵呵,因祸得福~莫名其妙对pcsahre竟然有了免疫功能既然杀掉了,俺也没继续找什么其他文件和启动项,有兴趣得可以用注册表监视器看看

   意:隐藏得驱动文件也有合法得,比如咔吧斯基,它那个就是隐藏得,删除了以后咔吧就不能用了~所以你不确定得话,可以用IceSword先备份,再删除拉拉啦啦~下面介绍我常用手工查杀技术
   掉文件源,要求NTFS分区,设置安全,拒绝任何用户访问修改执行,这样重新启动以后,木马就不会加载了。然后删除启动项就OK了(其实不删也没什么影响,甚至连个提示框都没,因为都拒绝了)
顶(0)
踩(0)

您可能还会对下面的文章感兴趣:

最新评论