»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
主动防御
» 木马此类启动方式,可能遭到大量使用
作者:
标题: 木马此类启动方式,可能遭到大量使用
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#1
木马此类启动方式,可能遭到大量使用
其实磁碟机中已经被应用了,还有更早的,但是那时候还不是很流行,现在比较频繁了,杀毒记得要认准
0012F378 00401417 /CALL 到 CreateProcessA 来自 x.00401415
0012F37C 0012F938 |ModuleFileName = "C:\windows\system32\svchost.exe"
0012F380 0012FB48 |CommandLine = "E:\virus\x.exe"
0012F384 00000000 |pProcessSecurity = NULL
0012F388 00000000 |pThreadSecurity = NULL
0012F38C 00000000 |InheritHandles = FALSE
0012F390 00000004 |CreationFlags = CREATE_SUSPENDED
0012F394 00000000 |pEnvironment = NULL
0012F398 00000000 |CurrentDir = NULL
0012F39C 0012F454 |pStartupInfo = 0012F454
0012F3A0 0012F4B4 \pProcessInfo = 0012F4B4
BY:unknown tycoon
[
Last edited by 点饭的百度空间 on 2008-4-12 at 13:53
]
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-4-12 13:50
terminus
中级用户
积分 221
发帖 218
注册 2007-2-11
来自 Mp.G
#2
用正常的系统文件调用其他文件
最终也算是运行了
※ ※ ※ 本文纯属【terminus】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[color=blue]不能給她幸福 就不要妨礙別人給她幸福[/color]
2008-4-12 22:42
gudan
高级用户
积分 605
发帖 579
注册 2007-7-20
#3
所谓正常系统文件只不过是名字+路径,真正被执行的映像是病毒,那个在调试器里面的svchost还没有完全初始化,只加载了ntdll,完全初始化就被微点和谐了
※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-12 23:02
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号
