-
-
[旧帖] [求助]atapi被rootkit了,想不出查的招了 0.00雪花
-
发表于: 2011-9-13 09:44
-
用XueTr看,内核模块原本按顺序推断是atapi.sys的位置变成空白,找不到文件,而全部内核驱动里面也找不到atapi.sys,但看设备管理器里面是有的,再看atapi的钩子被hook到ntkrnlpa.exe去了。
用PE启动验证atapi.sys的文件是正常的,改名启动蓝屏,安全模式启动用Icesword看一样是空白。推测启动的时候atapi.sys先正常加载,然后被rootkit给改了(没想明白为什么要改内核模块的文件名,直接atapi hook不就行了?)。
现在完全想不出办法怎么去查找这个rootkit了,想我用电脑裸奔10来年,这个系统也用了2年多没重装,就这么被黑了,郁闷啊:(
求助,多谢!
用PE启动验证atapi.sys的文件是正常的,改名启动蓝屏,安全模式启动用Icesword看一样是空白。推测启动的时候atapi.sys先正常加载,然后被rootkit给改了(没想明白为什么要改内核模块的文件名,直接atapi hook不就行了?)。
现在完全想不出办法怎么去查找这个rootkit了,想我用电脑裸奔10来年,这个系统也用了2年多没重装,就这么被黑了,郁闷啊:(
求助,多谢!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
求细细到来
|
