jusodl.exe、OSO.exe病毒的处理方法

最新推荐文章于 2017-11-16 18:12:00 发布
最新推荐文章于 2017-11-16 18:12:00 发布
阅读量843 收藏
点赞数
分类专栏: 木马病毒 文章标签: file system 安全相关 shell date 杀毒软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cafardhaibin/article/details/1707363
版权

        今天帮一个朋友处理了电脑病毒,用某个国产的杀毒软件竟然无法清除,就带了样本分析了一小下子。下面把自己的成果与大家分享一下,望多多指教。这个病毒有的人说是熊猫烧香的变种。从源码来看没有发现什么竹丝马迹,其主要有以下行为:

病毒基本信息
============
档案编号:CISRT2007027
病毒名称:Trojan-PSW.Win32.QQPass.jh(Kaspersky)
病毒别名:Worm.Pabug.co(瑞星)
     Win32.Troj.QQPass.nw.48436(毒霸)
病毒大小:48,436 字节
加壳方式:BeRo
样本MD5: 3093c27faaaf59effa8cc095d9217f6d
样本SHA1:27c81076d02992d35643f8668939a832c1cca5fe
发现时间:2007.1
更新时间:2007.2.3
关联病毒:
传播方式:恶意网页、其它病毒下载,还可通过U盘等移动设备传播

分析环境及工具

VM5.4、IDA、OD、PEID


技术分析
==========

变种:【CISRT2007007】盗Q木马 随机文件名的exe/dlll sxs.exe autorun.inf 解决方案

木马程序为文本文件图标,运行后复制多个自身副本到系统目录下并运行,进程互相保护:
%System%/{6位随机字母1}.exe(例如:jusodl.exe)
%System%/severe.exe
%System%/drivers/{6位随机字母2}.exe(例如:pnvifj.exe) 本内容来源于电脑硬件网
%System%/drivers/conime.exe

释放dll文件注入进程:
%System%/{6位随机字母1}.dll(例如:jusodl.dll)

向各分区根目录复制副本:
X:/autorun.inf
X:/OSO.exe

autorun.inf内容:

($('code0'));">[Copy to clipboard]:[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell/Auto/command=OSO.exe
创建启动项有:

($('code1'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"{6位随机字母2}"="%System%/{6位随机字母1}.exe"
"{6位随机字母1}"="%System%/severe.exe"
(例如:
"pnvifj"="%System%/jusodl.exe"
"jusodl"="%System%/severe.exe")

($('code2'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe %System%/drivers/conime.exe"
修改注册表,破坏“显示所有文件和文件夹”设置:

($('code3'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"="0"
木马释放%System%/hx1.bat:

($('code4'));">[Copy to clipboard]:@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0
通过命令cmd /c %System%/hx1.bat执行,尝试修改系统日期为2004年1月22日。

释放%System%/noruns.reg:

($('code5'));">[Copy to clipboard]:Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"NoDriveTypeAutoRun"=dword:b5
通过命令%System%/drivers/{6位随机字母2}.exe regedit.exe /s noruns.reg执行,修改当前帐户“自动播放”设置。
(例如:%System%/drivers/pnvifj.exe regedit.exe /s noruns.reg)

使用命令停止并禁用安全相关服务:
net stop srservice
sc config srcervice start= disabled
net stop sharedaccess 54pe.com
net stop kvwsc
sc config kvwsc start= disabled
net stop kvsrvxp
sc config kvsrvxp start= disabled
net stop kavsvc
sc config kavsvc start= disabled
sc config rsravmon start= disabled
net stop rsccenter
sc config rsccenter start= disabled
net stop rsravmon

结束安全相关进程:
sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
EGHOST.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

删除卡卡文件:
%System%/kakatool.dll

增加Image File Execution Options项目,当运行指定的安全相关程序时自动指向病毒文件%System%/drivers/{6位随机字母2}.exe(例如:%System%/drivers/pnvifj.exe):
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360Safe.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/adam.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/avp.com]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/avp.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/EGHOST.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/IceSword.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/iparmo.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kabaload.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KRegEx.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KvDetect.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KVMonXP.kxp]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KvXP.kxp]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/MagicSet.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/mmsk.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/msconfig.com]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/msconfig.exe] www.54pe.com
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/NOD32.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/PFW.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/PFWLiveUpdate.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/QQDoctor.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Ras.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Rav.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavMon.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedit.com]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedit.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/runiep.exe] 本内容来源于站长之家
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/SREng.EXE]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/TrojDie.kxp]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/WoptiClean.exe]
"Debugger"="%System%/drivers/{6位随机字母2}.exe"
(例如:"Debugger"="%System%/drivers/pnvifj.exe")

修改hosts,阻止访问安全网站:

($('code6'));">[Copy to clipboard]:127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com 本内容来源于www.54pe.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
Mutex:
AntiTrojan3721
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
KingsoftAntivirusScanProgram7Mutex

清除步骤
==========

1. 结束病毒进程,可以使用ProceXP等工具:
首先结束进程树:
%System%/{6位随机字母1}.exe(例如:jusodl.exe)
再次结束进程树:
%System%/severe.exe
此时,病毒进程{6位随机字母1}.exe(例如:jusodl.exe)/severe.exe/conime.exe都将被结束

2. 删除病毒文件:
%System%/{6位随机字母1}.exe(例如:jusodl.exe)
%System%/{6位随机字母1}.dll(例如:jusodl.dll,如果无法删除可以先重命名或移动)
%System%/severe.exe
%System%/drivers/{6位随机字母2}.exe(例如:pnvifj.exe)
%System%/drivers/conime.exe
%System%/hx1.bat
%System%/noruns.reg(如果存在)

3. 右键点击分区盘符,点击右键菜单中的“打开”进入到分区根目录,删除病毒文件:
X:/OSO.exe
X:/autorun.inf

4. 重新启动计算机

5. 删除病毒启动项:
删除:

($('code7'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
本内容来源于电脑硬件

"{6位随机字母2}"="%System%/{6位随机字母1}.exe"
"{6位随机字母1}"="%System%/severe.exe"
(例如:
"pnvifj"="%System%/jusodl.exe"
"jusodl"="%System%/severe.exe")

编辑Shell的数值数据:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe %System%/drivers/conime.exe"
修改为:"Shell"="Explorer.exe"
删除“Explorer.exe”后的“ %System%/drivers/conime.exe”

6. 修改注册表恢复“显示所有文件和文件夹”选项:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1

7. 删除病毒添加的项目:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360Safe.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/adam.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/avp.com]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/avp.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/EGHOST.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/IceSword.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/iparmo.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kabaload.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KRegEx.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KvDetect.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KVMonXP.kxp]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KvXP.kxp]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/MagicSet.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/mmsk.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/msconfig.com]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/msconfig.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/NOD32.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/PFW.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/PFWLiveUpdate.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/QQDoctor.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Ras.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Rav.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavMon.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedit.com]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedit.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/runiep.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/SREng.EXE]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/TrojDie.kxp]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/WoptiClean.exe]

8. 修改%System%/drivers/hosts文件:
删除第一行“127.0.0.1 localhost”下的所有内容。

9. 恢复被禁用的安全相关服务启动方式,修复安装或者卸载后重新安装被破坏的安全软件
 

cafardhaibin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSO.rar_多人聊天 qq
09-14
类似QQ的网络聊天程序。能够实现一个人与多人通信,你可以在此基础上添加更多的功能。
熊猫烧香病毒jusodl.exe severe.exe conime.exe)及其变种病毒专杀
weixin_34392435的博客
12-29 921
jusodl.exe OSo.exe severe.exe conime.exe 熊猫烧香最新变种 熊猫烧香新变种的病毒特征如下: 1、系统时间总是固定到某年某月某天 如2004年1月22日 2、不能更改 显示隐藏所有文件和文件夹 选项无法显示隐藏的系统文件 3、双击硬盘速度明显变慢 或者弹出选择打开方式 4、打不开杀毒软件 5、打不开任务管理器 6、安...
手工清除severe.exe病毒
caiguazheng4921的博客
03-28 153
个人网站:[url]www.itheroes.cn[/url]转载请指明文章出自51CTO博客(blog.51cto.com) 我在做计算机维护时发现有几台计算机中了一种不知名的病毒,感染这种病毒的症状如下: 1、 计算机系统时间被修改为2004年; 2、 系统无法显示隐藏的文件和文件夹,在“文件夹选项”设置显示隐藏的文件和文件夹后,再次打开“文件夹选项”,会...
清除severe.exe病毒
weixin_33994429的博客
11-16 105
一、severe.exe病毒现象: (1)无法显示所有文件和文件夹.(2)无法打开regedit.exe等众多安全相关程序,提示“windows找不到文件'c:\windows\regedit.exe'.....” 二、如何清除severe.exe病毒? (说明:DOS下运行的也可在安全模式《电脑启动时按F8进入安全模式》下直 接进入文件夹删...
OSO.EXE病毒专杀工具
weixin_33738982的博客
04-22 244
oso.exe是一个典型的U盘病毒,典型特征就是在硬盘的每个盘下面生成autorun.inf和oso.exe文件,并在硬盘右键出现AUTO,并在系统盘下生成可执行文件 c:/windows/system32/server.exe,杀毒软件杀毒后导致打开regedit.exe等被映象劫持的软件打开错误病毒还会修改hosts文件C:\WINDOWS\system32\driver...
gap-data-oso-1.2.6.jar
11-24
实测可用
my9oso6gqm.github.io
04-04
my9oso6gqm.github.io
网民搜索(9oso.com)搜索引擎源码.zip
03-18
网民搜索(9oso.com)搜索引擎源码.zip
使用oSo.SimpleSql进行快速便捷的数据访问
04-11
使用泛型,Lambda表达式,Fluent接口和SqlProviderFactory的数据访问框架。
使用DLL技术的木马分析
是叶子终要回归大地,是爱情总会沉入海底。
03-12 3066
"木马"大家都不陌生,给我们的系统安全带来很大的危害。而且现在的木马采用的技术越来越高,开始采用以".exe或.com"为后缀的可执行文件,但这种技术隐蔽性很差,将木马进程注册为系统服务后,虽然在WINDOWS98系统中可以隐藏,但在基于WINNT内核的系统中却一览无遗,用WINDOWS任务管理器很容易发现它们,为了达到隐藏的目的,DLL技术是广泛使用的一种手段,这种木马的隐蔽性很强,难以发现。 
关于IGM、IGW病毒的解决方法
是叶子终要回归大地,是爱情总会沉入海底。
10-24 2506
 前天机器上突然特别慢。无故多了个IGM的进程,且路径为X:/%WINDIR%系统目录下,属性为隐藏,但来是个坏东西。用最新病毒库的360进行查杀。结果如下:路径:C:/WINDOWS/Fonts/gemoand.fon路径:C:/WINDOWS/system32/rsjzafg.dll路径:C:/WINDOWS/system32/ratbani.dll路径:C:/WINDOWS/Fonts/
熊猫烧香简单分析
是叶子终要回归大地,是爱情总会沉入海底。
02-09 2117
       还记的哪个酣态可鞠的熊猫,他让我们哭笑不的,网络上对这个病毒的分析、对作者猜测的文章多如牛毛,通过和他打交道,我感觉这个病毒的破坏性并不大,并且病毒本身也不具有什么先进的技术,关键是他的传播能力,他几乎采用了所有的病毒传播方式,一时间天下大乱,无人不知“熊猫烧香”    许多前辈通过DB发现病毒代码中有“whboy”字样,于是有了“武汉男生”这个名字,俗称“熊猫烧香”,这是一个感染型
进程中出现多个iexplore.exe进程清除方法
是叶子终要回归大地,是爱情总会沉入海底。
02-09 1977
        朋友说机器中毒了,我就带上了自己的宝贝武器(注:呵呵就是一个u盘,里面有IceSword.exe、procexp.exe等杀人放火、举家旅行之必备的小东东)。火速奔扑现场。我打开机器一看,原来症状就是即使不开ie浏览器也会在进程中出现多个iexplore.exe进程,且弹出不良网站并一闪而过。用冰刃一看,查到iexplore.exe的id号为384。然后打开procexp.exe
木马的隐藏与自我保护技术
是叶子终要回归大地,是爱情总会沉入海底。
03-26 1526
   大家可能用一些工具时会用到SSDT检查图,可能会显示的结果是某个驱动(CdnProt.sys)HOOK了一堆的服务函数。你是不是感觉到很高深,莫怕,今天看到一位前辈通过实例给我们很贴切的解释了一下各个名词.  下面我用一个比喻来形容一下儿这些电脑名词与木马技术的实现机制。  Windows(操作系统)就像一个为我们服务的管理公司,这个公司呢帮我们管理着我们的电脑。一个公司当然不会是一个人,他
ARP病毒全析
是叶子终要回归大地,是爱情总会沉入海底。
09-05 1433
一:下面是一位前辈的分析资料:· ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。 二、ARP病毒发作时的现象 网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开
灰鸽子
是叶子终要回归大地,是爱情总会沉入海底。
03-16 906
      现在看来灰鸽子和金山是否弄的不可开交了,也不知道金山是有点夸张还是灰鸽子太过分了,金山竟然用了一个版面(http://www.duba.net/zt/huigezi/)来对付灰鸽子,列举了其各种罪状,摆出一副不干倒灰鸽子誓不罢休的态度。呵呵,我也来凑个热闹,整理了一些关于灰鸽子的资料,希望能给正在了解灰鸽子的人做个参考。       一:灰鸽子运行原理及解决办法     灰
手动清除恶意软件心得
是叶子终要回归大地,是爱情总会沉入海底。
02-08 778
        前一段时间我们曾经为一个名“万能搜索”的流氓软件头痛不已,网上关于这个恶意软件的清理方法很多,但许多都对其行为做了分析。就是会在什么目录产生什么文件等等。      我今天不想讲这个,这个软件之所以让人头痛,是因为它采用了驱动保护技术,就是你删除它所产生的文件,它又会自动生成。这样我们退一步,站到编程员的角度分析,如果他发现他的文件不存在,他就会在程序里指定一个目录来再产生他的
FileNotFoundError: [Errno 2] No such file or directory: '/tmp/tmpuh9l3sz0/tmpo0oso4ne.py'
最新发布
09-12
使用绝对路径来指定文件的位置是一种常用的解决方法。绝对路径是指文件在文件系统中的完整路径,不会受到当前文件所在位置的影响。您可以在项目的配置文件中定义一个基本路径,然后将相对路径与基本路径拼接,从而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值