首页
社区
课程
招聘
[讨论] 哭,大哭,嚎啕大哭.....
发表于: 2008-5-20 21:40 4622

[讨论] 哭,大哭,嚎啕大哭.....

2008-5-20 21:40
4622
添加的小功能有:
1、进程栏里的模块搜索(Find Modules)
2、注册表栏里的搜索功能(Find、Find Next)
3、文件栏里的搜索功能,分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files)
上面是要求最多的,确实对查找恶意软件有帮助

4、BHO栏的删除、SSDT栏的恢复(Restore)
这项本来是“鸡肋”项,可加可不加。比如BHO删除用户可以手工作。
SSDT恢复就更没用了:几年前最先发布的版本就给出了SSDT项当前值与原始值,所谓恢复就是用原始值的4字节写回去,当时未提供是考虑一方面SSDT hook这种早已“滥用”的表层技术对IS的操作没有影响,另一方面使用它的却往往是正常的杀毒软件而非恶意软件(恶意软件早没这么菜了,太容易被发现),所以觉得提供给普通用户只会让他们破坏自己的杀软。不过有朋友老提,就加几句代码吧。

5、Advanced Scan:第三步的Scan Module提供给一些高级用户使用,一般用户不要随便restore,特别不要restore第一项显示为"-----"的条目,因为它们或是操作系统自己修改项、或是IceSword修改项,restore后会使系统崩溃或是IceSword不能正常工作。
其实最早的IceSword也会自行restore一些内核执行体、文件系统的恶意inline hook,不过并未提示用户,现在觉得像SVV那样让高级用户自行分析可能会有帮助。另外里面的一些项会有重复(IAT hook与Inline modified hook),偷懒不检查了,重复restore并没有太大关系。还有扫描时不要做其它事,耐心等待。
如果你安装了卡巴之类的杀软,可能结果察看就比较麻烦:修改太多了......

6、隐藏签名项(View->Hide Signed Items)。在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。要注意选中后刷新那四栏会很慢,要耐心等。运行过程中系统相关函数会主动连接外界以获取一些信息(比如去crl.microsoft.com获取证书吊销列表),一般来说,可以用防火墙禁之,所以选中后发现IS有连接也不必奇怪,M$搞的,呵呵。

7、其他就是内部核心功能的加强了,零零碎碎有挺多,就不细说了。使用时请观察下View->Init State,有不是“OK”的说明初始化未完成,请report一下。

    上面这段是冰刃的作者写的,当我看到这段文字的时候,感觉自己以下就掉进了冰窖,差距啊! 引用有关名人的话: 差距怎么就这么大呢?
    当我看到坛子里的rootkit的教程时兴奋不已--原来还可以这样!同样,当我看到这篇文章的时候,有着同样深刻的寒意:当时未提供是考虑一方面SSDT hook这种早已“滥用”的表层技术.....
      还是那句话: 差距怎么就这么大呢??

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
2
呵呵....有些东西是体力活...有些东西是脑力活....体力活的东西是一通百通
2008-5-20 22:02
0
雪    币: 218
活跃值: (17)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
大家都没有发现什么叫差距么??
2008-5-22 19:35
0
雪    币: 249
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
百度去查一下什么是"标题"
2008-5-22 20:34
0
游客
登录 | 注册 方可回帖
返回
//