注册
登录
论坛
搜索
社区银行
帮助
导航
私人消息 (0)
公共消息 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
黑色海岸线论坛
»
网络安全
» 假如江民2008是“病毒”……
返回列表
发帖
发短消息
加为好友
seahack
当前离线
帖子
11
我的爱好
阅读权限
0
在线时间
4 小时
禁止发言
主题
0
积分
-5
贝壳
-5 个
注册时间
2007-12-18
最后登录
2008-7-23
楼主
跳转到
»
正序看帖
打印
字体大小:
t
T
seahack
发表于 2008-1-29 11:59
|
只看该作者
[转载]
假如江民2008是“病毒”……
假
如江民2008是
“
病
毒
”……
看到这几个字,有点怪怪的吧,
什么叫假如江民
2008
是
“
病毒
”……
啊
?大家都知道,在和平年代国家为了保持军队的战斗力,那就会时不时的搞些军事演习,演习中一般分为红蓝两方,对方就是你的假想敌人,在演习中你就得把这个假想敌人灭掉。
那今天我们就把这种模式搬到
IT
行业中来试试,玩玩这个假想“病毒”!
2007
年有期《电脑报》里江民不是被评为最高
4A
佳绩吗,呵呵
~~
这说明江民就不是随便盖滴!这里我们就以江民为例吧,还请大家多多指点。江民的粉丝们别乱扔砖头啊。
安装好江民后就可以开始进攻了。首先在任务栏里删除江民的
kvsrvxp.exe
或
KVMonXP.kxp
程序,会显示无法中止进程。如图:
e1.jpg
(11.31 KB)
2008-1-25 16:34
嗯!看来江民做得不错,我们要从任务栏进程发起攻击是搞不定它的(这不废话吗,要是在进程里都被你干掉了,那还有得混?),既然删进程不行那就试试直接删你的文件,呵呵
~~
这个大家不想都知道,在江民还在使用过程中要删除其文件那也是没门的。笔者试过了,不管关不关掉江民监控中心(就是关掉
KVMonXP.kxp
,但还有个
kvsrvxp.exe
),除了江民的
Data
文件里的文件(该文件夹下的可能是江民的一些数据和日志,其所有文件都能删,但该
Data
文件夹不能删)外,其它任何一个删不掉。如图:
e2.jpg
(22.33 KB)
2008-1-25 16:34
删不掉?仅仅是因为它还有程序在使用中吗?没这么简单,这是因为江民修改了
NtOpenFile
函数,通过
SSDT
挂钩方式来保护其文件不被恶意删除。
e4.jpg
(22.92 KB)
2008-1-25 16:34
也删不掉它文件,那就再来服务里试试,改变或停掉它的服务类型,一般的杀软用服务管理器改变其服务类型差不多都能搞定。立马找到服务—
>KVSrvXP
—
>
右击属性—
>
启动类型,改为手动或禁用,晕
~~
这也拒绝访问,这如果是病毒的话……汗
~~
e3.jpg
(45.35 KB)
2008-1-25 16:34
为什么改不了江民的服务启动类型呢?打开
IceSword
,在
SSDT
里也可找到红色的江民修改的
NtSetValueKey
函数。
e5.jpg
(23.81 KB)
2008-1-25 16:34
好,到这里我们知道了为什么干不掉假想“病毒”——江民了,它主要是利用
SSDT
挂钩方式来保护其进程、文件及服务。我们只要恢复被它修改的
SSDT
挂钩,那我们就可以……嘿嘿,想干嘛就干嘛了。
在
IceSword
里设置禁止进线程创建,然后找到
SSDT
项,选中所有被江民修改的项(显示为红色的项)修复,这时会发现不管是在
Process Explorer
里还是在
IceSword
里仍然还不能删除它的进程也不能改动它的服务?而且
IceSword
里刚恢复的那些
SSDT
挂钩过一会又被还原了,又是一片红……要是这是病毒,这些方法还搞不定的话,那真晕了。后面就想到,在进程这些操作了是不是也重启才能生效呢?于是重启,哈哈
~~
这个假想“病毒”果然服输给干掉了,不过江民也真够人折腾的,我也服了!
说在最后:
说了上面那么多还没说到点子上,罪过,罪过。
最开始是源于江民安装后服务默认的是自启动,一开机就有个
kvsrvxp.exe
进程,由于不想看到这家伙,因为平时没用而它又占用资源,但又不想卸载,所以……其实这个假想“病毒”试验,一是要看看江民的自我保护能力,更重要的则是通过这个假想“病毒”试验来映射出如何清除顽固病毒。
顽固病毒,到底顽固在哪里?
首先,顽固病毒的进程、文件(可能隐藏进程及文件)及相关的注册表键值无法删掉(病毒自我保护),其次,杀毒软件反复杀,也杀不掉,清不完(病毒自我复制再生能力强)。
那么是什么原因导致病毒顽固清除不掉?
1
、远程线程注入到某个进程(如
Explorer.exe
或其他系统进程);
2
、驱动加载,一般权限无法操作;
3
、挂钩
SSDT
,实时监控并恢复相关的注册表、文件内容;
4
、挂钩
ShellExecuteHooks
,使用
Explorer
资源管理器自动加载其病毒本身;
5
、挂钩
Svchost.exe
系统服务中,注册
ServiceDLL
,或篡改系统正常的
ServiceDLL
;
6
、挂钩
WinSock LSP
;
7
、病毒体随机性,以
*door?.dll
的形式变换;
8
、
PE
可执行文件感染型,如熊猫烧香。
那剩下的就只要根据电脑的实际情况,利用所知所学,用杀毒软件再配以必要的辅助工具,如
IceSword
、
Process Explorer
、
Wsyscheck
、
WinHex
……等
,我想就算它再狠也还是狠不过你吧!
PS
:
如果是某顽固病毒的话,我们还可以用
终截者实验室
出品的一个强力删除工具《
xDel
》来试试,该工具可以通过修改句柄权限的方法删除文件、发送
IRP
删除文件或直接破坏文件的头
512
字节来达到破坏病毒文件的目的。
收藏
分享
软件精品专卖连锁超市:http://shop35220926.taobao.com 隆重开业!欢迎光临!
返回列表
回复
发帖
使用交流
网络安全
网络技术
娱乐休闲
灌水乐园
文学天地
美图欣赏
网站办公
站务处理
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]