UC知道一个小病毒
来源:百度知道 编辑:UC知道 时间:2024/04/28 01:29:32
一个dll病毒
dll加载线程双守护ring0内核 加在了ntoskrnl.exe
结束不掉 替换线程也被另外一个守护的发现了
试过用icesword剥离 强制停止内核 无效
据分析 没有特殊的anti模块 hook了ntdll.dll
没有服务 没有启动 不调用ZwLoadDriver 也没有inline hook
清理过PspCreateNotifyRoutines 也没用 DWORD=0
操! 关键是IAT类的!!
2楼的方法的确可以解决 但是有没有纯技术手段搞定的呢? 比如调用关键函数 或者是hook类的 这东西有点像rootkit 很头疼.
dll加载线程双守护ring0内核 加在了ntoskrnl.exe
结束不掉 替换线程也被另外一个守护的发现了
试过用icesword剥离 强制停止内核 无效
据分析 没有特殊的anti模块 hook了ntdll.dll
没有服务 没有启动 不调用ZwLoadDriver 也没有inline hook
清理过PspCreateNotifyRoutines 也没用 DWORD=0
操! 关键是IAT类的!!
2楼的方法的确可以解决 但是有没有纯技术手段搞定的呢? 比如调用关键函数 或者是hook类的 这东西有点像rootkit 很头疼.
用光盘引导进入实模式DOS状态下把DLL病毒文件删除。
一般情况下如果是rootkit,在任务管理器是看不到它的进程的,特别是处在ring0级别。你中的那个应该是API HOOK技术虽然没ring高,但也是可以隐藏进程的,但你既然看到它的进程了,比较容易清除,你试试找到它的进程PID号,之后在运行里面输入命令“ntsd -c q -p PID”,如果它插入其它系统进程,一般用户只能用专业杀毒工具了。至于你说调用函数,那要用到编程的,难度较大,一般只有从事反病毒专业人员才使用这种分析手段。
永金山毒霸杀就行啊
ntoskrnl.exe是保护性的进程,在你计算机反复启动的情况下出现。在正常情况下,在任务管理器是不会有该进程的。注意:ntoskrnl.exe也可能是w32.bolzano病毒。请使用杀毒软件进行查杀。
我用kav7.0家360很安全电脑,你可以参考下!!
用windows pe 进啊