-
-
[求助]inline hook?怀疑中毒,如何分析这些 inline hook?
-
发表于: 2011-2-26 19:19
-
各位大大好!突然间网速变得奇慢。没有可疑进程,进程中没有可疑的 dll,杀毒没查出问题。但关闭各种应用软件后,抓网卡数据包,发现有连向某IP的 http数据。以及各种 UDP 信息。于是用各种工具进行检查:
先是优化大师的进程管理器,发现了可疑端口
Dsrsrc.exe 是 driver studio 的进程,怎么会出现 heigezi.e 字样呢?看进程 Dsrsrc.exe 的 dll模块,都是有数字签名的。
再用 icesword 看一下端口的信息。这么多的端口信息,完全看不懂。
再用roolkit 检测工具,发现有许多 inline hook。
klif.sys和 kl1.sys 是卡巴的驱动,DbgMsg.SYS是 driverstuio 的驱动,其它就看不懂了。我想 firefox 这样的进程,没理由要挂钩系统函数啊。(系统中没有开其它的调试工具和应用软件)。用工具将 inline hook恢复后,上网速度可以恢复正常。
请问各位大大,我这种情况是中毒吗?如果是,该怎么跟踪发现病毒在哪里呢?
本人水平:在看雪论坛泡了多年,熟悉 od, windbg,等调试工具,能阅读汇编代码。但对病毒了解甚少。希望各位大大能给予指导~~
先是优化大师的进程管理器,发现了可疑端口
Dsrsrc.exe 是 driver studio 的进程,怎么会出现 heigezi.e 字样呢?看进程 Dsrsrc.exe 的 dll模块,都是有数字签名的。
再用 icesword 看一下端口的信息。这么多的端口信息,完全看不懂。
再用roolkit 检测工具,发现有许多 inline hook。
klif.sys和 kl1.sys 是卡巴的驱动,DbgMsg.SYS是 driverstuio 的驱动,其它就看不懂了。我想 firefox 这样的进程,没理由要挂钩系统函数啊。(系统中没有开其它的调试工具和应用软件)。用工具将 inline hook恢复后,上网速度可以恢复正常。
请问各位大大,我这种情况是中毒吗?如果是,该怎么跟踪发现病毒在哪里呢?
本人水平:在看雪论坛泡了多年,熟悉 od, windbg,等调试工具,能阅读汇编代码。但对病毒了解甚少。希望各位大大能给予指导~~
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
