微点交流论坛 - 主动防御 - 还原系统严重bug被病毒恶意利用，造成杀软杀毒后重启病毒依然存在

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 还原系统严重bug被病毒恶意利用，造成杀软杀毒后重启病毒依然存在

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 还原系统严重bug被病毒恶意利用，造成杀软杀毒后重启病毒依然存在

分析就不写了，贴几张图，还原系统会拦截在正常磁盘设备中所做的操作，但无法拦截在非正常磁盘设备的操作，所以病毒就把文件先拷贝到指定目录，然后从正常磁盘设备拷贝到非正常磁盘设备中，突破还原并被还原视为应保留文件；而正规的程序都会访问正常的磁盘设备操作文件，所以杀毒软件将病毒删除后却被还原拦截，造成成功删除的假象，其实被还原重启后还原了；至于这个病毒启动完全依赖了启动文件夹，如果没有这个目录或者感染自启动文件，是不可能通过注册表启动的，因为注册表储巣会被还原程序还原。

至于微点可疑文件扫描可以扫描到隐藏文件应该只是在内存中的扫描到的，因为病毒驱动是自删除的，这种问题可以查看模块/进程，重启之后就没有了。

BY:unknown tycoon

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-22 15:19

qzzzzq001
新手上路

积分 11
发帖 11
注册 2008-2-24

#2

太深，没看明白，说详细些啊

※ ※ ※ 本文纯属【qzzzzq001】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-24 15:55

akak199129
新手上路

积分 6
发帖 6
注册 2008-3-16

#3

我觉得这很正常很多人都应该能想到了应该不算什么BUG

※ ※ ※ 本文纯属【akak199129】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-27 20:28

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号