标题: mp开头的sys都是微点的? [打印本页]

---

作者: 慕晨雪     时间: 2006-9-14 07:30    标题: mp开头的sys都是微点的?

今天用IceSword了下 发现类似mp110009.sys等的都为红色危险进程 这些都是微点进程?

!*^_^*!

  

---

作者: nasdaq     时间: 2006-9-14 12:56
？？？
IceSword啥版本？

我的IceSword 1.18，内核模块，MP1100XX.sys系列全都是黑色的。
WinXP SP2

另，IceSword报红色，含义是隐藏模块，不能简单理解为危险模块。

---

作者: 慕晨雪     时间: 2006-9-15 12:06

Quote:

Originally posted by nasdaq at 2006-9-14 12:56: ？？？ IceSword啥版本？ 我的IceSword 1.18，内核模块，MP1100XX.sys系列全都是黑色的。 WinXP SP2 另，IceSword报红色，含义是隐藏模块，不能简单理解为危险模块。

和你同样版本的 我在SSDT里看到的
!*^_^*!

  

---

作者: nasdaq     时间: 2006-9-15 12:35

Quote:

Originally posted by 慕晨雪 at 2006-9-15 12:06: 和你同样版本的 我在SSDT里看到的 !*^_^*!

深了，又学了一着

呵呵，我觉得SSDT里面的红色是不是指非windows自带的驱动模块阿，我这里微点、卡巴4、DAEMON Tools4的驱动都是红色的

呵呵，因为微点的驱动最多，可能是因为微点监控的目标比较多吧

---

作者: flo     时间: 2006-9-15 19:39
在IceSword的SSDT选项卡里，红色是指被修改的SSDT，是说现在这项SSDT的地址与从系统ntoskrnl.exe里算出来的正常值不一样。
微点通过修改SSDT实现主要监控，这是正常的。许多安全软件都会把这个表改得面目全非。KIS6更为恐怖...
当然啦，修改SSDT也是可以干坏事的，有些早期Rootkit通过修改SSDT隐藏自己。

[ Last edited by flo on 2006-9-15 at 19:44 ]

---

作者: nasdaq     时间: 2006-9-15 21:52

Quote:

Originally posted by flo at 2006-9-15 19:39: 在IceSword的SSDT选项卡里，红色是指被修改的SSDT，是说现在这项SSDT的地址与从系统ntoskrnl.exe里算出来的正常值不一样。 微点通过修改SSDT实现主要监控，这是正常的。许多安全软件都会把这个表改得面目全非。K ...

感谢英雄给俺科普了一下。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn