查找木马,病毒的常见方法
所有跟贴
·
加跟贴
·
新语丝读书论坛
送交者: 阳明 于 2007-06-16, 07:55:29:
1. 用Hijack This扫描
a)BHO
b)注册表Run自动启动项
c)Global Startup
2. 用ProcessExplorer扫描当前进程
a)注意用svchost.exe启动的
b)注意用explorer.exe启动的
3. services里的自动运行进程
4. 用Icesword强制删除文件,注册表
a)推荐Icesword,因为他运行在ring3
所有跟贴:
这个icesword到哪里下载? (无内容)
-
银杏村
(0 bytes)
2007-06-16, 20:32:05
(147103)
把系统装好ghost备份,有病毒只用20分钟就可恢复系统。 (无内容)
-
老杨同志
(0 bytes)
2007-06-16, 10:57:23
(146971)
不止20分钟,因为Windows补丁不断,打补丁时往往已经装了不少程序。
-
阳明
(78 bytes)
2007-06-16, 11:29:13
(146980)
往往忘打一个补丁,BHO就进来了 (无内容)
-
阳明
(0 bytes)
2007-06-16, 11:30:28
(146981)
我根本就不用WINDOWS。我还没发现LINUX上有病毒。 (无内容)
-
说一说
(0 bytes)
2007-06-16, 09:52:20
(146963)
我的办法
-
Yush
(2375 bytes)
2007-06-16, 09:21:15
(146959)
木马自我运行及保护的机理
-
阳明
(630 bytes)
2007-06-16, 11:23:40
(146977)
别在这污染环境了。先回去学基本功,然后学习Autoruns。
-
rustybullet
(120 bytes)
2007-06-16, 11:54:54
(146987)
Icesword是先drop driver运行ring0,再调ring3,但你要是细看,他走的是CIH路子。
-
阳明
(132 bytes)
2007-06-16, 12:15:02
(146991)
真正要保护Icesword,还要在SSM里设置Icesword保留于内存 (无内容)
-
阳明
(0 bytes)
2007-06-16, 12:29:39
(146995)
别现了。CIH在NT系统上根本跑不起来。wdm只是新版NT Driver接口,不是某个软件。 (无内容)
-
rustybullet
(0 bytes)
2007-06-16, 12:25:45
(146994)
Icesword是自带低层函数的,而不是单单调Windows的,就是这个思路。 (无内容)
-
阳明
(0 bytes)
2007-06-16, 12:35:48
(146998)
Hijack This+icesword理论上病毒都能够搞定 (无内容)
-
组胚
(0 bytes)
2007-06-16, 08:46:44
(146955)
加跟贴
笔名:
密码:
注册笔名请按这里
标题:
内容: (
BBCode使用说明
)