[讨论]金山鼓吹“鬼影”病毒，各位看官对此病毒有什么见解？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]金山鼓吹“鬼影”病毒，各位看官对此病毒有什么见解？

发表于: 2010-3-15 20:25 57443

[讨论]金山鼓吹“鬼影”病毒，各位看官对此病毒有什么见解？

Winker

2010-3-15 20:25

57443

查看主题内容

收藏・9

免费・0

支持

最新回复 (142) ◀ 1 2 3 4 5 6 ▶
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 26 楼 DOS时代用这种技术造的病毒满天飞，金山还声称能分析此种病毒的人廖廖无几，让人汗颜！ 2010-3-16 15:39 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 27 楼这种技术? 是什么技术? 你能说清楚一些吗? 如果你没有分析过这个病毒,那还是先分析一下再来解释 2010-3-16 15:44 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 28 楼这个病毒我是没分析过，不过stoned bootkit我还是学习过很多遍的，原理应该是一样吧，也不想多说了！ 2010-3-16 16:16 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 29 楼原理一样的东西很多,但知道原理跟能实现一个成品出来,并且能够传播的就不多了,很多人懂很多驱动开发的原理,但离开别人的编译向导,连接驱动都编译不过去.(申明:不针对你,只是说一下我了解的一些情况) 2010-3-16 16:30 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 30 楼你也是搞技术的,好像水平也挺好,不然也当不上版主,但有必要针对一篇市场文章做计较吗? 2010-3-16 16:32 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 31 楼太人性化了, 开着金山卫士就好比开了个记事本在那, 很人性化... 可惜记事本不能防杀否则真是个完美人工智能一般NB的软件 2010-3-16 16:40 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 32 楼另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。金山就了解清楚了？！就看不惯某些所谓的牛公司的那副不可一世的德性！ 2010-3-16 16:42 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 33 楼你是做技术的还是市场人员?如果是市场人员,我就不跟你争论这个了. 2010-3-16 16:47 0
Squn 雪币： 340 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 368 粉丝 1 关注私信	Squn 34 楼囧的很.... 无聊.... 2010-3-16 16:52 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 35 楼芊芊都说无聊了，那就不争了，没意思！（如果是搞技术的，就更应该知道天外有天，人外有人的道理，就更不应该说出那样离谱的话了！） 2010-3-16 17:09 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 36 楼不就是个mbr病毒么? 以前DOS时代这种病毒很多的, 说得和神一样受不了关键是这种病毒是怎么中的, 安软难道不保护mbr? 2010-3-16 17:15 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 37 楼唉,算了,说不清楚了,只能说现在搞技术的专注点都不在技术上,精力都花在研究技术以外的东西去了. 2010-3-16 17:21 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 38 楼同学，你也会说是DOS时代的。那都是过时的东西，在现在的操作系统里一点用都没有。用个江民炸弹来炸一下 XP ，一点用都没有现在金山所说的就应该是指 bootkit 至于国内有多有个多少个人能完全分析一个bootkit 我就不清楚了只知道MJ 在08的xcon上就发布了他的tophet。也只在他空间看过一篇他分析一个bootkit的文章不过我想能分析出出bootkit的应该是不多吧 PS:我也不是托，我还是个小孩 2010-3-16 17:43 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 39 楼老Y那么维护金山，应该是金山的人吧。 2010-3-16 19:41 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 40 楼看看他的回帖就知道是金山枪手了，分析这个太简单了，首先引导代码从MBR到NTLDR XP上本来就很简单，再有GMER分析MEBOOT和EEYE的源代码，简直是不能再简单了。再到NTLDR启动SYS，MEBOOT分析里就知道是挂IoInitSystem，不知道这个病毒是怎么挂的，不过相比也大同小异，甚至可能直接照抄，这块本身也没什么技术含量，就是汇编能力。再到下面就是SYS启动了，跟普通的ROOTKIT没什么区别了，就是小孩子的玩意儿了。 2010-3-16 22:20 0
olydbg 雪币： 124 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 66 粉丝 0 关注私信	olydbg 1 41 楼正在紧张修复被正版xp搞坏掉的mbr 如果anybody比较熟悉的化告我一声在这先谢了。。。 2010-3-16 22:24 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 42 楼 xp的应急恢复控制台里就有个fixmbr呀，类似的软件还有N多，比如testdisk、diskgen之类的，都能帮你修复mbr 2010-3-16 22:35 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 43 楼做个通用的MBR FIXER并不那么容易，尤其是一些品牌机器，笔记本等等。 2010-3-16 23:15 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 44 楼马大师都出马了,哪里还能找出有技术含量的东西. 2010-3-16 23:26 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 45 楼楼上的太娱乐了…… 金山的枪手请得真挫…… 2010-3-17 00:13 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 46 楼其实这句话才是说到重点上了，这就是一篇面向普通用户的“市场文章”。普通用户会觉得很严重很震惊的事情，如果从专业技术人员的角度来审视，当然会觉得很不以为然。这样的市场文章中提到的技术人员的意见，往往和真正的技术人员真正的想法是有距离的，不知道被市场的人加工成了什么样子了。 2010-3-17 01:52 0
chenjun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 0 关注私信	chenjun 47 楼海龟说：蛙泳真难游啊~~~ 蝌蚪笑了。。。蝌蚪说：蛙泳好简单啊，是我发明的。青蛙笑了。。。青蛙说：你不知道我的蛙泳最快？牛蛙笑了。。。牛蛙说：其实我最值钱蟾蜍笑了。。。蟾蜍什么都没说就走了 2010-3-17 02:12 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 48 楼我怎么觉得这么好笑呀...bootkit...你觉得在mbr里的指令与在文件里指令有区别吗? 多少人能分析...我敢说在看雪有这样能力的人都数不清. 我要说的还是那句, 你安软为什么能让病毒往mbr里写, 如果安软做得好, 这样的病毒不可能流行吧? 2010-3-17 10:52 0
sadamu 雪币： 411 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	sadamu 49 楼重建MBR可以解决 2010-3-17 10:55 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 50 楼唉，对于Vista/Win7等其实抄TrueCrypt就行了~ TC稳定啊稳定，这玩意样本在我的xpsp3机器上蓝吐血了~ 2010-3-17 11:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Winker

133

发帖

1127

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (142) ◀ 1 2 3 4 5 6 ▶
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 26 楼 DOS时代用这种技术造的病毒满天飞，金山还声称能分析此种病毒的人廖廖无几，让人汗颜！ 2010-3-16 15:39 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 27 楼这种技术? 是什么技术? 你能说清楚一些吗? 如果你没有分析过这个病毒,那还是先分析一下再来解释 2010-3-16 15:44 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 28 楼这个病毒我是没分析过，不过stoned bootkit我还是学习过很多遍的，原理应该是一样吧，也不想多说了！ 2010-3-16 16:16 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 29 楼原理一样的东西很多,但知道原理跟能实现一个成品出来,并且能够传播的就不多了,很多人懂很多驱动开发的原理,但离开别人的编译向导,连接驱动都编译不过去.(申明:不针对你,只是说一下我了解的一些情况) 2010-3-16 16:30 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 30 楼你也是搞技术的,好像水平也挺好,不然也当不上版主,但有必要针对一篇市场文章做计较吗? 2010-3-16 16:32 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 31 楼太人性化了, 开着金山卫士就好比开了个记事本在那, 很人性化... 可惜记事本不能防杀否则真是个完美人工智能一般NB的软件 2010-3-16 16:40 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 32 楼另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。金山就了解清楚了？！就看不惯某些所谓的牛公司的那副不可一世的德性！ 2010-3-16 16:42 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 33 楼你是做技术的还是市场人员?如果是市场人员,我就不跟你争论这个了. 2010-3-16 16:47 0
Squn 雪币： 340 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 368 粉丝 1 关注私信	Squn 34 楼囧的很.... 无聊.... 2010-3-16 16:52 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 35 楼芊芊都说无聊了，那就不争了，没意思！（如果是搞技术的，就更应该知道天外有天，人外有人的道理，就更不应该说出那样离谱的话了！） 2010-3-16 17:09 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 36 楼不就是个mbr病毒么? 以前DOS时代这种病毒很多的, 说得和神一样受不了关键是这种病毒是怎么中的, 安软难道不保护mbr? 2010-3-16 17:15 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 37 楼唉,算了,说不清楚了,只能说现在搞技术的专注点都不在技术上,精力都花在研究技术以外的东西去了. 2010-3-16 17:21 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 38 楼同学，你也会说是DOS时代的。那都是过时的东西，在现在的操作系统里一点用都没有。用个江民炸弹来炸一下 XP ，一点用都没有现在金山所说的就应该是指 bootkit 至于国内有多有个多少个人能完全分析一个bootkit 我就不清楚了只知道MJ 在08的xcon上就发布了他的tophet。也只在他空间看过一篇他分析一个bootkit的文章不过我想能分析出出bootkit的应该是不多吧 PS:我也不是托，我还是个小孩 2010-3-16 17:43 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 39 楼老Y那么维护金山，应该是金山的人吧。 2010-3-16 19:41 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 40 楼看看他的回帖就知道是金山枪手了，分析这个太简单了，首先引导代码从MBR到NTLDR XP上本来就很简单，再有GMER分析MEBOOT和EEYE的源代码，简直是不能再简单了。再到NTLDR启动SYS，MEBOOT分析里就知道是挂IoInitSystem，不知道这个病毒是怎么挂的，不过相比也大同小异，甚至可能直接照抄，这块本身也没什么技术含量，就是汇编能力。再到下面就是SYS启动了，跟普通的ROOTKIT没什么区别了，就是小孩子的玩意儿了。 2010-3-16 22:20 0
olydbg 雪币： 124 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 66 粉丝 0 关注私信	olydbg 1 41 楼正在紧张修复被正版xp搞坏掉的mbr 如果anybody比较熟悉的化告我一声在这先谢了。。。 2010-3-16 22:24 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 42 楼 xp的应急恢复控制台里就有个fixmbr呀，类似的软件还有N多，比如testdisk、diskgen之类的，都能帮你修复mbr 2010-3-16 22:35 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 43 楼做个通用的MBR FIXER并不那么容易，尤其是一些品牌机器，笔记本等等。 2010-3-16 23:15 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 44 楼马大师都出马了,哪里还能找出有技术含量的东西. 2010-3-16 23:26 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 45 楼楼上的太娱乐了…… 金山的枪手请得真挫…… 2010-3-17 00:13 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 46 楼其实这句话才是说到重点上了，这就是一篇面向普通用户的“市场文章”。普通用户会觉得很严重很震惊的事情，如果从专业技术人员的角度来审视，当然会觉得很不以为然。这样的市场文章中提到的技术人员的意见，往往和真正的技术人员真正的想法是有距离的，不知道被市场的人加工成了什么样子了。 2010-3-17 01:52 0
chenjun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 0 关注私信	chenjun 47 楼海龟说：蛙泳真难游啊~~~ 蝌蚪笑了。。。蝌蚪说：蛙泳好简单啊，是我发明的。青蛙笑了。。。青蛙说：你不知道我的蛙泳最快？牛蛙笑了。。。牛蛙说：其实我最值钱蟾蜍笑了。。。蟾蜍什么都没说就走了 2010-3-17 02:12 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 48 楼我怎么觉得这么好笑呀...bootkit...你觉得在mbr里的指令与在文件里指令有区别吗? 多少人能分析...我敢说在看雪有这样能力的人都数不清. 我要说的还是那句, 你安软为什么能让病毒往mbr里写, 如果安软做得好, 这样的病毒不可能流行吧? 2010-3-17 10:52 0
sadamu 雪币： 411 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	sadamu 49 楼重建MBR可以解决 2010-3-17 10:55 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 50 楼唉，对于Vista/Win7等其实抄TrueCrypt就行了~ TC稳定啊稳定，这玩意样本在我的xpsp3机器上蓝吐血了~ 2010-3-17 11:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复