[ Last edited by gudan on 2007-11-22 at 22:39 ]作者: lotei 时间: 2007-11-5 23:34 楼主这贴含金量还是比较高的!利用NtCreateProcess或NtCreateProcessEx一个进程空壳后没有载入主线程映像,而写入了另一个进程的代码的技术目前已经有见过一些病毒利用了!驱动化虽然目前编程难度和调试难度比较考验编毒者的能力和耐心,半驱动化目前也有样本,而全驱动据说国外也正在做了,前阵子好像听说有人写出来了,样本没见过!难度很高!通过绕过了SFC,Winlogon没有追上去userinit被感染了,删除后重启系统瘫痪,替换原来的userinit,手动恢复原有的注册表项便可以正常,但又有几个杀软能智能到此呢!
重在防御或者说主动防御是未来的趋势,这些东西一起手!微点早哗哗的报,删个精光了!
虽是转来的东东,鉴于该贴写得确实不错!加精!
[ Last edited by lotei on 2007-11-5 at 23:35 ]作者: gudan 时间: 2007-11-6 00:11 楼上的头像好熟悉作者: gudan 时间: 2007-11-19 22:50 把帖子删了吧,反作用大于了实际价值,太可怕了