» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 再次半驱动化，注入新方式   作者: 标题: 再次半驱动化，注入新方式 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  再次半驱动化，注入新方式 SONGBOWEN:一个生成随机命名驱动的毒 从卡饭看到的，EQ能够拦截其安装、加载驱动，但是看不到其他的具体操作（毕竟是一个靠驱动吃饭的。。。）据论坛的某超版说，也可以过微点。 运行以后，释放驱动，然后就加载驱动，没有其他的操作，用IceSword很容易清除（我用特殊方法实验的，据说直接删除他的驱动会蓝屏）。 unknown tycoon: 从点饭宋版主那里碰见的样本 用驱动打开进程ｓｅｒｖｉｃｅｓ写代码进去，插入***，比较缺德，和run'time3工作方式差不多，只不过那个插入的是svchost小道消息微点572版本已经拦截了 只要加载了驱动就是平等权限，但驱动要单一作事情很难，现在还没有见到全驱木马，不过也不确定没有超越内核ｗｉｎｄｏｗｓ头上飞的后门、木马出来，全驱病毒前几天有了吧，那个驱动感染驱动的。 全驱动是可怕的，等于写一个子系统内核，不过全驱动病毒也要通讯 不知道什么鬼东西 有兴趣的朋友研究下， <System>\oirijshr.ini [config] [local] [peers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太长了。。略 The file oirijshr.ini is a text file (configuration file for Troj/Dorf-AN). http://www.sophos.com/security/analyses/trojdorfan.html [ Last edited by 点饭的百度空间 on 2008-1-5 at 20:39 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-3 21:34 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   请把您的样本压缩加密发到virus@micropoint.com.cn我们具体测试分析下； 发送完请把您的邮箱地址用论坛短消息发给我，方便对您的问题的跟踪处理。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-1-3 21:39 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #3   转帖 一只纯ASM编写的免杀病毒(开源代码) [url]https://***.html[*/url] [ Last edited by Legend on 2008-1-3 at 23:17 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-3 23:10 小小刀 高级用户 我要换头像！ 积分 889 发帖 884 注册 2007-6-6 #4   杀软与病毒的斗争永远没有终点 ※ ※ ※ 本文纯属【小小刀】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 我什么时候才能自定义头像。。。。。。 2008-1-4 09:29 lotei 版主 病毒区地方父母官 积分 776 发帖 775 注册 2006-10-14 来自 被人们遗忘了的村庄 #5   半驱动的编写已经非常可怕了，不知道全驱会是怎么样，据说已经有了全驱动，不知是不是真的！ ※ ※ ※ 本文纯属【lotei】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 让自己更加睿智，其实看透了！你就放下了！ 2008-1-5 16:22 baijian_8d 中级用户 积分 289 发帖 286 注册 2007-5-27 #6   飘雪 ，my123的强制锁定网页的那个恶意驱动。。算不算全驱动？ ※ ※ ※ 本文纯属【baijian_8d】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-5 17:14 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #7     Quote: Originally posted by baijian_8d at 2008-1-5 17:14: 飘雪 ，my123的强制锁定网页的那个恶意驱动。。算不算全驱动？ 不算  http://bbs.micropoint.com.cn/showthread.asp?tid=23857&fpage=3 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-5 20:40 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #8   runtime系列领教过 很好，很强大 ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-6 22:22 微点放大是焦点 高级用户 积分 783 发帖 765 注册 2007-2-10 来自 广州 #9   这些都是技术性的探讨,在我这些非计算机专业的人看来是很复杂的.不过原理我倒是觉得自己有一点点理解,哎呀...后悔当初我选的怎么不是计算机专业,可能我是个计算机的天才呢...囧rz ※ ※ ※ 本文纯属【微点放大是焦点】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 天将降大任于是微点,必先苦其老总,劳其同事,饿其用户,空乏资金,官司乱其所为,所以动心忍性,销售其所不能。 2008-1-7 01:31 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号