简介
PowerTool是一款免费的系统分析,手动杀毒工具。这款内核级的手动杀毒辅助工具,能帮助你找出病毒
木马在你的电脑中动过的手脚,并去除病毒设下的机关。目前具备以下功能:系统修复、进程管理、内
核模块、内核相关、钩子、应用层、文件、注册表、离线分析、启动项、系统服务、网络链接、漏洞修
复等。
PowerTool 的特色在于它能够获取较高权限,从而执行一些底层的系统维护操作,如常用的强制结束进
程、强制删除文件、强制编辑注册表、强制删除系统服务等等。作为内核级手动杀毒辅助工具,
PowerTool 与 PCHunter不相上下,PowerTool 在某些方面提供的功能还要多些,处理速度蛮快。
适用系统环境:Windows PE / 安全模式 / Windows XP / Windows 2003 Server / Vista / Windows
2008 Server / Windows 7 / Windows 8 / Windows 8.1 / Windows 10 RTM / Windows 10 build 10586
========
如何使用PowerTool 20秒手动清除鬼影3病毒
“鬼影”系列病毒的共同特点是感染电脑硬盘的主引导记录(MBR),无论重装系统或是格式化硬盘都无
法清除病毒。
“鬼影”系列病毒的共同特点是感染电脑硬盘的主引导记录(MBR),无论重装系统或是格式化硬盘都无
法清除病毒。在查杀前两代“鬼影”时,不同厂商推出的专杀工具都会首先修复MBR,然后再全面扫描清
除病毒残骸,然而这个方法在查杀“鬼影3”时却遇到了难题。据分析,“鬼影3”病毒之所以非常顽固
,原因在于它释放了一个恶意驱动作为“保镖”,用来禁止任何修复MBR的操作。对杀毒软件来说,不清
除“保镖”驱动就无法修复MBR,不修复MBR又无法清除“保镖”驱动,从而陷入“鬼影3”怎么都杀不干
净的死循环中。
年初的时候我写过一篇20秒手杀鬼影的教程,斗转星移,病毒的作者精益求精,前段时间,已更新到鬼
影3代了。
不过正所谓魔高一尺,道高一丈,邪还是不能胜正的,现在也有一些鬼影3的专杀工具了,不过为了知其
所以然,我写一下如何用PowerTool的3.8版来手刃鬼影3病毒~~~
PowerTool 顽固文件清除文件下载地址为:www.jb51.net/softs/25378.html
第一步
看一下鬼影3都干了那些坏事,我们才能够做到有的放矢
1. 鬼影3的进程
2. 鬼影3的文件
3. 鬼影3的流氓快捷方式
4. 鬼影3的网络连接
5. 鬼影3在内核里面的钩子
6. 鬼影3在的其他勾当
7. 最后也是最重要的也就是鬼影3的MBR
差不多就这些了,知道了它干得勾当,自然就可以清除它了。
清除步骤:
1.结束鬼影3的进程
2.恢复隐藏的扩展名
3.删除鬼影3的文件
4.删除鬼影3的流氓快捷方式
5.恢复它在内核的钩子(这一步很重要,否则无法恢复MBR)
6.恢复成正确的MBR
========
PowerTool手动清除IE自动捆绑hao123一例
http://bbs.kafan.cn/thread-1772662-1-1.html话说本人很少使用IE浏览器,但最近由于工作中某个ZF网站只支持IE才能正常显示(奇葩的设计),不得
不又使用了一下久违的IE软件。
打开IE后,发现自动打开了hao123页面,确切的说是指向了:http://www.hao123.com/?
tn=91055648_hao_pg页面。
第一反应,进入IE设置,首页清空,重启浏览器,还是这样,继续搜索注册表,果然找到几个“hao123"
的键值,删除之,哈哈,简单,重启~
回来~嗯?怎么还是没用?再次搜索注册表,并未发现流氓的踪迹,MUMM~~,
第二反应,右键IE快捷方式,啊哈,果然,快捷方式直接添加了流氓软件的地址。删除之~,重运行,还
是不行,删除它,嗯?显示不具备管理员权限?啥意思?这有些木马的感觉啊~~~,重启,F8,安全模式
删除,哈哈,成功,小样~~~~~
再回来~~~,嗯???还在?看来有模块监视,自动创建,咋办?上网,度了一圈,也没办法,卡饭一顿
,都是求助,要不就是重装系统!这么烦?!!
咱是干啥的?折腾呗~~~
杀毒~~~~,没用
查看启动项~~~~,没啥
查看进程~~~~,正常
Mummm~~~~~
突然想起了好久没用的PowerTool,Win7下还没用过呢,试试,先吹吹灰先~~~
打开,流氓快捷方式——无,(识别不出?),进程管理,有红色的一个个看........,在
Explorer.exe中,发现了线程:路径:/bangdun/product.dll,这是啥?摘除之,explorer重启,还在!还
有钩子?
继续找,钩子,内核入口,啊~又发现了这个玩意,摘除钩子~
再次删除一下快捷方式看看,成功啦,看来就是这东西:Bangdun!啥玩意?找到该文件目录删除,系统注
册表里寻找bangdun并清理。
重启~~~~~~哈!快捷方式不再生成了,小样,就是一流氓软件。
(该过程有几天时间了,所以本文中的细节可能记得不是很完整了,今天上网看看,很多人都在问怎么
清理hao123,我这也算是一个思路吧,大家看看,杀毒记得举一反三。 )
========
使用PowerTool快速清除鬼影病毒
http://www.cr173.com/html/11038_1.html鬼影病毒让人很恼火,重做系统都没有用,当然现在已经有很多鬼影专杀工具了,不过MBR病毒不只限于
鬼影,以后遇到了类似的也可以用PowerTool清除
第一步,先查看MBR是否有异常,如果有红色的项目,就说明MBR已经被病毒篡改了
(PT会自动确认是否有恶意代码和MBR代码是否被隐藏,然后显示红色)
第二步就是点击自动修复来修复了:
到此为止,确认加上恢复大概是10秒钟吧
接下来清除鬼影留下的流氓广告和快捷方式
(普通的删除方法很烦琐,PT只需一步就可删除)
点击修复即可,大概耗时5秒
最后,删除鬼影遗留下来的驱动文件
也差不多5秒,
最后系统重启即可,就可以恢复成干净的系统了
鬼影其实还只是一个入门级别的Bootkit,以后变种可能会强一些吧
PowerTool还可以对抗隐藏MBR代码的MBR Rootkit,
如果还无法对抗,
在dos底下修复MBR最彻底了
重置:
fdisk /mbr
fixmbr(windows恢复控制台)
gdisk disk /mbr。
========
使用PowerTool轻松检测魔影病毒(TDSS.TDL-4)
http://www.cr173.com/html/12812_1.html就不过多重复了,为了保护自己的篡改的MBR,可谓是用尽可手段,
PowerTool可以在不恢复和修改TDL-4任何钩子的情况下,
直接穿透它的防护,检测到TDL-4 rootkit
首先,有两个地方,大家可能以前就知道了,
一个是工作列线程
一个是StartIO的钩子
这个以前版本的PowerTool就可以检测到
这次加强了内核模块的检测,可以看到TDL-4的隐藏驱动
TDL-4还劫持了ATAPI的设备
如果以上,大家还不能确认是否是真的中了TDL-4病毒的话
最后一个,可以彻底让它露出真面目,
在MBR里面点击强力检测按钮(目前不支持AHCI/RAID/SCSI模式)
可以完全穿透TDL-4的防护,检测到MBR
清除的话,建议大家可以用卡巴或者BitDefender的专杀工具
也可以到PE系统里面,修复MBR来清除
以后PT会进一步加强清楚的工作,呵呵
========
找下PowerTool 0.40最新版的茬 (1)
http://bbs.kafan.cn/thread-1052303-1-1.html刚看到PowerTool 0.40出正式版了,随便找了一个测试环境看了下它的一些功能。
下面是0.40新增或改进项目的一点问题。
1、PT新版新增了调试寄存器的检测,但是由于对调试寄存器了解不够深入,有一些错误。
本来准备拿一些比较特殊的改写调试寄存器来测试,但是一看显示界面,大囧。
最新版误将几个DRX调试寄存器的名字写作CRX(正确的名字应该是DR0---DR7),作者对调试寄存器的了
解还得加深。
PT遇到某个调试寄存器的值非零就提示该处可能被hook,实际上某些还原软件也可能对它做手脚,但并
不是hook。
另外,只检测几个DRX的值,而没有检测相应的一些重要标志位,更不说一些组合方式利用调试寄存器了
。
2、PT新版加入了内核入口点的检测,但是由于对syscall(系统调用)机制的不熟悉,会导致正常系统
出现一些误报或者漏报。
PT不支持2000系统,就似乎默认了syscall只是某一种,只显示KiFastCallEntry的地址。
而事实上,即使在Win 7环境下,三种syscall入口都是可能的。
这里由于PT直接将KiFastCallEntry固定为内核入口点,导致检测不了hook。
另外,由此也导致PT的内核入口点检测读取错误的、不起作用的“入口”地址,通过交叉分析,可能得
出存在hook的结论。
3、PT新版修正了之前版本将MBR启动代码的16位汇编解析为32位汇编的问题。
不考虑重定位,显示时,PT将启动地址标为00000002,而不是00000000,总感觉怪怪的。
4、PT新版加入了woodmann论坛Kayaker的代码,实现在Win7快速遍历指定内核区域。
http://www.woodmann.com/forum/en ... s-space-in-Windows7
不过Kayaker的代码只是demo性质的,存在一些问题,比如最基本的校验,可能导致崩溃。
5、PT新版改进了网络连接的显示,本想测试解析IP库是否存在问题,结果测试中出现了蓝屏,所以顺便
看了下网络连接的枚举。
Win7下的枚举,PT使用了debugman的《WIN7下向NSI取TCP UDP信息》提供的代码。
http://www.debugman.com/discussi ... 4%BF%A1%E6%81%AF/p1
可惜原帖给出的代码本身存在一些问题,比如分配释放pool的逻辑存在问题,可能导致蓝屏。
一个典型的下PT在Win7枚举网络连接导致蓝屏时的栈回溯如下:
945a7464 81c57b92 00000003 1a501172 00000000 nt!RtlpBreakWithStatusInstruction
945a74b4 81c58673 00000003 945a7940 000001ff nt!KiBugCheckDebugBreak+0x1c
945a7878 81dc91d9 000000c2 00000006 0000108e nt!KeBugCheck2+0x6a1
945a78ec 88c1bc15 945a7948 00000000 8cb300b8 nt!ExFreePoolWithTag+0x129
WARNING: Stack unwind information not available. Following frames may be wrong.
945a79a8 88c2d635 945a7a5c 945a7a50 878b3030 kEvP+0x3c15
945a7a6c 88c37dbd 878b3030 8cb300b8 0000f428 kEvP+0x15635
945a7bec 81c4311a 878b3030 8cb300b8 00000000 kEvP+0x1fdbd
945a7c0c 82118a40 8cb300b8 8cb30128 923aff38 nt!IofCallDriver+0x7e
945a7c2c 82119bd6 878b3030 923aff38 00000000 nt!IopSynchronousServiceTail+0x258
945a7cc8 82120332 00000178 8cb300b8 00000000 nt!IopXxxControlFile+0x740
945a7d04 81da8173 00000178 00000000 00000000 nt!NtDeviceIoControlFile+0x4c
945a7d04 7702a364 00000178 00000000 00000000 nt!KiFastCallEntry+0x163
001f8878 77000844 74f8e074 00000178 00000000 ntdll!KiFastSystemCallRet
001f887c 74f8e074 00000178 00000000 00000000 ntdll!NtDeviceIoControlFile+0xc
001f88dc 75c01830 00000178 002221c4 00000000 KERNELBASE!DeviceIoControl+0xee
001f8908 013e6762 00000178 002221c4 00000000 kernel32!DeviceIoControlImplementation+0x80
001ff260 00000000 00000000 00000000 00000000 PowerTool+0xa6762
404 Not Found
今天写到这里,明天开放。
Anti-rootkit如某些大牛说的,现在越来越多人在写了,门槛也越来越低了。但是要写出一个优秀的ark
,不仅仅靠得是模仿和不仔细分析就增加功能,需要对系统机制的深入理解,需要作者的思考。
有感于一直以来很多人对ark的误解(当然,不是后面PT作者所想的)和前段时间PowerTool交流群某些
人对XueTr作者的人身攻击,主要给出了PT这次5处更新对应项目的一些问题,作为一点回应。
一点说明:
1、调试寄存器,顾名思义,这里指P3 x86下用于扩展CPU调试机制的Drx寄存器。
调试器可直接利用它实现硬件断点(这里是内核调试器),rootkit等可以通过设置调试寄存器,可以对
指定地址的读取、写入、执行进行控制,达到隐藏目的。
这里PT检测的是全局的Drx寄存器,并不是用户态的per thread context下的drx。
举几个实例:
1、一些反外{过}{滤}挂驱动会修改调试寄存器,达到阻止hook被恢复等目的。
2、360还原保护器会对IO端口下硬件断点,拦截直接IO方式的穿还原。
3、一些反外{过}{滤}挂驱动及微点主防驱动恢复hook前会清零调试寄存器,减少受干扰可能。
2、内核入口点。
这里内核入口点不够明确,就PT检测项目而言指的是系统调用的内核入口点。
wiki:系统调用指程序向操作系统内核请求需要更高权限运行的服务,它提供了用户程序与操作系统之间
的接口。
Windows NT下系统调用对应的服务函数一般指的是SSDT和Shadow SSDT两张表内的函数,很多驱动会通过
替换这些表内的函数或者改写函数内部代码等方法实现hook,做一些拦截、隐藏等动作。
而由用户态发起请求到分发服务函数有一个过程,由于SSDT和Shadow SSDT相对明显,可以通过对从用户
态发起请求到分发服务函数中间过程的代码进行改写,来实现相对隐蔽的hook。
PT准备检测的是便是这部分hook。
简单来说,PT作者对系统机制的理解不全面,很多地方没有考虑周全,导致漏检测(比如内核入口点只检
测了一个)
不过将调试寄存器名称写错有点囧了
Anti-rootkit如某些大牛说的,现在越来越多人在写了,门槛也越来越低了。但是要 ...
CRX的名字确实写错了。。。不过没什么大碍
重要标志位可以自己分析DR7,
不过打算在下个版本,详细列出来
入口点监测,可能没检测全,以后的版本继续加强了。。。
后面几个问题,我也再检查一下,
PT确实还算不上优秀,只能继续改进,
如果只是进程线程文件,确实很多人都可以做,
不过dl牛好像把PT归于这一类了。。。
而且ARK也不可能全部都考虑到,
即使是XT也有考虑不到的地方,枚举不到的模块吧?
PT已经加了很多自己的东西,也不能单纯的说是模仿了吧
群里面有人攻击XT吗?会不会是dl牛过于敏感了
有人习惯用PT,有人习惯用XT,不可能让大家都统一的标准啊。。。
更多的人应该是两个都在用吧。。。
不管怎么说XT在linxer牛和dl牛的努力下,
的确是第一流和最优秀的ARK,但是对用户的要求也很高
而我则努力结合用户的反馈加上自己的想法。
做一个简单易懂的工具,即使不把PT算作ARK,
能在大多数情况下解决病毒就可以了,呵呵
========
找下PowerTool的茬 (2)——使用PT 20秒检测并清除ZeroAccess的不可行性
http://bbs.kafan.cn/thread-1061080-1-1.htmlZeroAccess rootkit是最近讨论得比较多的一种恶意软件。它又名max++,ZAccess,得名于rootkit
文件内调试信息中的作者命名。它最早于大半年前在国外一些反病毒论坛和技术博客被讨论,近半年前
在剑盟的一个关于清理InstallAntiVirus2010的讨论帖里,ZeroAccess首次在国内被关注,那时它已加
入了针对检测工具的反制措施。几个月后,卡巴、Prex、安博士、SurfRight等厂商对该rootkit进行了
公开报道。
ZeroAccess rootkit使用了许多技术实现隐藏和反检测,包括驱动reload and run、虚拟盘、NTFS
文件压缩、存储栈设备扩展劫持、文件缓存欺骗、直接操作FCB、引诱检测、高级自我保护等。
看到PowerTool作者在博客发布了名为《20秒检测并清除ZeroAccess/ADS流病毒By PowerTool》的博
文,提出了清理该rootkit的简便方便。不过由于作者并未仔细分析该rootkit,导致该教程和PowerTool
清理过程中出现很多问题,甚至是安全隐患。结合自己对清理ZeroAccess的体会,对其中的不少细节提
出一些质疑。
这里对清理教程发现的问题做一些探讨。
1、对ZeroAccess自我保护规避的不彻底。
PowerTool最新版驱动会在每次分发时恢复ZeroAccess新版对IoIsOperationSynchronous函数的
hook,以此来防止访问ZeroAccess的ADS流文件时由于未通过rootkit验证被结束进程并清除文件权限。
可惜的是,PowerTool这样做并不能完全规避ZeroAccess的自我保护,最新版在很多情况下仍然会
出现触发ZeroAccess导致无法正常使用。
试举一例:
PowerTool在启动时会检测硬盘,可能会发送SMART_RCV_DRIVE_DATA的I/O控制码获取硬盘信息。
这一动作会被ZeroAccess在Ata/Scsi/Storport等设备栈最底层微端口设备驱动的hook截获,然后
PowerTool会被无情的结束进程并且文件被清除权限。
如下所示,PowerTool的访问被ZeroAccess的hook截获,PowerTool.exe文件被清除了权限。
1:kd> p
8154fa2e ff156c945581 call dword ptr ds:[8155946Ch] ds:0023:8155946c={nt!
ZwSetSecurityObject (80501fb0)}
1: kd> !handle @ecx
Image: PowerTool.exe
Object: 8137ba48 Type: (819edad0) File
Directory Object: 00000000 Name: \Documents and Settings\Administrator\桌面
\PowerToolV4.0.2\PowerTool.exe {HarddiskVolume1}
1: kd> lmvm PowerTool
Image path: C:\Documents and Settings\Administrator\桌面\PowerToolV4.0.2\PowerTool.exe
Image name: PowerTool.exe
Timestamp: Thu Sep 01 23:22:51 2011 (4E5FA34B)
ImageSize: 0065F000
2、教程针对ZeroAccess版本的局限导致清除无效的可能性
教程提出20秒修复ZeroAccess,最后提出的3步,即恢复hook、清除关机回调和修复感染文件在很
多情况下是无法清除ZeroAccess感染文件的。
教程对应的ZeroAccess版本,是一个多星期前的,并没有考虑再这之前以及最新的版本。最近的
版本,ZeroAccess自建的微型文件系统的存储文件也已转移。
更重要的是,教程中并没有提到删除ADS流文件以及该文件对应的服务(实际上0.40版删除ADS流
文件存在问题),也没有去尝试清除ZeroAccess自建的微型文件系统的存储文件。特别是前者的文件和
服务配置信息,不删除可能导致重启重新感染,这点之前的一些教程帖中已有讨论。
3、教程给出的清理步骤的多余性
教程提出的三步清理ZeroAccess,除了修复感染文件,其它步骤,单就ZeroAccess系列而言是没有
意义的。即使不处理,也不会导致本身清理局限性外的修复的问题。由于该教程本身针对的是
ZeroAccess的某一版,且有着前面所述的局限性,把删除回调、恢复hook这样常见的杀毒手段放在这是
没有必要的。
另外,由于PowerTool对ZeroAccess的hook检测并不全面,包括前面所述的存储栈设备扩展劫持(如下
XueTr提示)默认都没有检测,不能作为PowerTool通用清理方法。
4、对进程的枚举和显示。
由截图看,PowerTool将进程2571670320:3480008550.exe本身模块显示为隐藏。实际上该模块并
不存在隐藏,使用其它Ring3工具都能正常枚举出模块,除了读取文件本身可能存在困难。
5、对进程文件的删除。
教程中并没有提到3480008550.exe对应进程的结束以及该文件的删除。
实际使用PowerTool删除3480008550.exe这一文件后,再次刷新进程管理,会将该进程路径名显
示为C:。
此时使用结束进程并删除文件功能,PowerTool会将该路径传入,删除整个C盘时自然导致系统死
锁或者蓝屏崩溃,影响系统安全性。
一个典型的崩溃dump如下,这里PowerTool附加到explorer.exe关闭了不该关的句柄:
*******************************************************************************
*
*
* Bugcheck Analysis
*
*
*
*******************************************************************************
INVALID_KERNEL_HANDLE (93)
This message occurs if kernel code (server, redirector, other driver, etc.)
attempts to close a handle that is not a valid handle.
Arguments:
Arg1: 00000208, The handle that NtClose was called with.
Arg2: 00000001, means an invalid handle was closed.
Arg3: 00000000
Arg4: 00000000
PROCESS_NAME: explorer.exe
STACK_TEXT:
f088900c 804f9df9 00000003 f0889368 00000000 nt!RtlpBreakWithStatusInstruction
f0889058 804fa9e4 00000003 e186e008 81529af0 nt!KiBugCheckDebugBreak+0x19
f0889438 804faf33 00000093 00000208 00000001 nt!KeBugCheck2+0x574
f0889458 805bd4bd 00000093 00000208 00000001 nt!KeBugCheckEx+0x1b
f088949c 805bd509 00000208 00000000 00000000 nt!ObpCloseHandle+0x173
f08894b0 8054261c 00000208 f088957c 80500f31 nt!NtClose+0x1d
f08894b0 80500f31 00000208 f088957c 80500f31 nt!KiFastCallEntry+0xfc
f088952c f069f208 00000208 0100001e 813978f0 nt!ZwClose+0x11
WARNING: Stack unwind information not available. Following frames may be wrong.
f088957c f06b0a09 8158a378 f0889a80 00e37b61 kEvP+0x5208
f0889abc f06ba16f 8148e778 81677378 00e37d9d kEvP+0x16a09
f0889c40 804f018f 8148e778 81677378 806e7410 kEvP+0x2016f
f0889c50 80580982 816773e8 8162c7a0 81677378 nt!IopfCallDriver+0x31
f0889c64 805817f7 8148e778 81677378 8162c7a0 nt!IopSynchronousServiceTail+0x70
f0889d00 8057a274 000000d4 00000000 00000000 nt!IopXxxControlFile+0x5c5
f0889d34 8054261c 000000d4 00000000 00000000 nt!NtDeviceIoControlFile+0x2a
f0889d34 7c92e4f4 000000d4 00000000 00000000 nt!KiFastCallEntry+0xfc
00129360 00000000 00000000 00000000 00000000 ntdll!KiFastSystemCallRet
FOLLOWUP_IP:
kEvP+5208
f069f208 8b4508 mov eax,dword ptr [ebp+8]
6、“跟踪硬盘读写过程”的不全面
ZeroAccess会对DR0设备的设备扩展进行修改,这种方式绕过了常规的hook检测。PowerTool最
新版的检测MBR功能会受此影响,导致显示“无法读取MBR信息(内核)”。
教程分析中提到了通过“跟踪硬盘读写过程”检测可能更改。“跟踪硬盘读写过程”类似avast
出品aswMBR工具的Disk IO Trace功能。PowerTool另可以通过这一功能恢复上面的劫持。不过这一功能
仍然存在问题,无法突出高亮显示ZeroAccess的另一处hook,正是该处hook导致了之前PowerTool最新仍
然可能触发ZeroAccess自保。
7、总结
《20秒检测并清除ZeroAccess/ADS流病毒By PowerTool》一文,其中的分析、给出的方法和实
际配合PowerTool清理ZeroAccess的效果都存在不少问题,甚至是安全隐患。这里提出其中一些问题,供
大家参考,希望对手工清除ZeroAccess有所帮助。
========
2429
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
