-
-
[求助]谁能知道这个驱动木马是怎么搞得这么厉害的?根本找不到文件!
-
发表于:
2007-12-23 18:40
10985
-
[求助]谁能知道这个驱动木马是怎么搞得这么厉害的?根本找不到文件!
新更新了Autoruns9才发现的,中了个驱动木马,8.xx的AutoRuns看不到,注册表位置添加的服务为axw4eir2,这个名称随机变(前面的a不变,后面随机)
添加了这东西
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNPA000\4&5d18f2df&0
4&5d18f2df&0这个在GOOGLE中也找不到有几个,这个不会改变的
在HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi下也添加了一个
添加服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axw4eir2
服务中连ImagePath这一项都不存在
根本清不掉,NOD32没反应,更垃圾的360就更别说了
我把注册表中的所有与之有关的项删除(可删,并未保护),删除后并未见恢复,再直接断电都不行(防止关机时有自己恢复),开机还有,安全模式试上面的也不行。
用了一堆工具都看不到它的文件,文件根本像不存在的一样,IceSword120看不到有文件存在,就连开机进PE系统都看不到这个文件的存在!WinHex直接磁盘编辑也看不到这个文件,神了?
它每次机必看到有一服务,证明它还没有神到绝无痕迹自启动的地步,但为什么文件就找不到呢?
IceSword120虽说看不到有文件存在,但可以看到有内核模块存在,但IceSword120除了能看,也没有任何功能能动它的!右键除了个刷新什么都没有,在SSDT中无它的任何痕迹!
Sysinternals Process Explorer也可以在进程DLL中看到System进程中有此SYS被加载,但没有看到它创建任何线程,一样,除了看,没有任何能动这个模块的功能
怪只怪MS的操作系统太要命了,要是能自动执行的地方只有一个入口就好了,什么东西都会一目发然!搞得现在N个地方都可以执行起来,工具一堆,还没一个真正万能的啊。
有人能支支招不?
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法