标题:
还原系统严重bug被病毒恶意利用,造成杀软杀毒后重启病毒依然存在
[打印本页]
作者:
点饭的百度空间
时间:
2008-2-22 15:19
标题:
还原系统严重bug被病毒恶意利用,造成杀软杀毒后重启病毒依然存在
分析就不写了,贴几张图,还原系统会拦截在正常磁盘设备中所做的操作,但无法拦截在非正常磁盘设备的操作,所以病毒就把文件先拷贝到指定目录,然后从正常磁盘设备拷贝到非正常磁盘设备中,突破还原并被还原视为应保留文件;而正规的程序都会访问正常的磁盘设备操作文件,所以杀毒软件将病毒删除后却被还原拦截,造成成功删除的假象,其实被还原重启后还原了;至于这个病毒启动完全依赖了启动文件夹,如果没有这个目录或者感染自启动文件,是不可能通过注册表启动的,因为注册表储巣会被还原程序还原。
至于微点可疑文件扫描可以扫描到隐藏文件应该只是在内存中的扫描到的,因为病毒驱动是自删除的,这种问题可以查看模块/进程,重启之后就没有了。
BY:unknown tycoon
作者:
qzzzzq001
时间:
2008-2-24 15:55
太深,没看明白,说详细些啊
作者:
akak199129
时间:
2008-4-27 20:28
我觉得这很正常 很多人都应该能想到了 应该不算什么BUG
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
