病毒防治
soft8848
这个作者很懒,什么都没留下…
展开
-
从隐藏方式为木马分级
一星级 ☆任务管理器可见性→● 资源管理器可见性→● 注册表可见性→●最原始的木马。简单地为服务端起个类似系统进程的名字,放在系统目录下,最多加上系统隐藏属性。有些会监视自己的启动项,一旦被删除会自动填写,保证自己能随系统启动。二星级 ☆☆任务管理器可见性→● 资源管理器可见性→● 注册表可见性→●同时运行两个或以上的进程,互相监视,一旦其中一个进程被关闭,另一个会自动创建新的进程。同原创 2006-03-11 22:13:00 · 1067 阅读 · 0 评论 -
处理被维金病毒感染的EXE文件
维金病毒所谓的感染EXE文件不过是把自身和PE文件捆绑在一起,所以还原EXE文件也非常简单,只需要确定病毒的大小,把原来的EXE文件拷出来即可。当然,不能排除将来的变种改变感染方式的可能。我被感染的病毒大小是 $7daf(16进制),通过Hiew分析得到的。此病毒的开始4个字节转化成双字值等于 $454B5A4D (16进制)。下面给出还原被维金病毒感染的PE文件的Delphi原代码,原创 2006-09-28 11:21:00 · 2528 阅读 · 2 评论 -
CheckSys.exe病毒的处理
CheckSys.exe病毒创建一个Protector驱动服务,HOOK了NtDeleteKey等系统底层API,即使在安全方式下都可以随系统启动而难以删除。 由于它是一个驱动服务,在控制面板->管理工具->服务中是看不到它的;由于它HOOK了一些API,无法删除它在注册表中的启动项。目前的处理方法是:安全方式下,运行SReng,禁用Protector服务,再次重新启动到安全方式,删除注册表中原创 2006-09-28 10:47:00 · 1158 阅读 · 0 评论