<br /> <br /><br /> 嗯!看来江民做得不错,我们要从任务栏进程发起攻击是搞不定它的(这不废话吗,要是在进程里都被你干掉了,那还有得混?),既然删进程不行那就试试直接删你的文件,呵呵~~这个大家不想都知道,在江民还在使用过程中要删除其文件那也是没门的。笔者试过了,不管关不关掉江民监控中心(就是关掉KVMonXP.kxp,但还有个kvsrvxp.exe),除了江民的Data文件里的文件(该文件夹下的可能是江民的一些数据和日志,其所有文件都能删,但该Data文件夹不能删)外,其它任何一个删不掉。如图:<br /><br /> <br /><br />
<br /> <br /><br /> 删不掉?仅仅是因为它还有程序在使用中吗?没这么简单,这是因为江民修改了NtOpenFile函数,通过SSDT挂钩方式来保护其文件不被恶意删除。<br /><br /> <br /><br />
<br /> <br /><br /> 也删不掉它文件,那就再来服务里试试,改变或停掉它的服务类型,一般的杀软用服务管理器改变其服务类型差不多都能搞定。立马找到服务—>KVSrvXP—>右击属性—>启动类型,改为手动或禁用,晕~~这也拒绝访问,这如果是病毒的话……汗~~<br /><br /> <br /><br />
<br /> <br /><br />为什么改不了江民的服务启动类型呢?打开IceSword,在SSDT里也可找到红色的江民修改的NtSetValueKey函数。<br /><br /> <br /><br />
<br /> <br /><br /> 好,到这里我们知道了为什么干不掉假想“病毒”——江民了,它主要是利用SSDT挂钩方式来保护其进程、文件及服务。我们只要恢复被它修改的SSDT挂钩,那我们就可以……嘿嘿,想干嘛就干嘛了。<br /><br /> 在IceSword里设置禁止进线程创建,然后找到SSDT项,选中所有被江民修改的项(显示为红色的项)修复,这时会发现不管是在Process Explorer里还是在IceSword里仍然还不能删除它的进程也不能改动它的服务?而且IceSword里刚恢复的那些SSDT挂钩过一会又被还原了,又是一片红……要是这是病毒,这些方法还搞不定的话,那真晕了。后面就想到,在进程这些操作了是不是也重启才能生效呢?于是重启,哈哈~~这个假想“病毒”果然服输给干掉了,不过江民也真够人折腾的,我也服了!<br /><br /><br />说在最后:<br /> 说了上面那么多还没说到点子上,罪过,罪过。<br /><br /> 最开始是源于江民安装后服务默认的是自启动,一开机就有个kvsrvxp.exe进程,由于不想看到这家伙,因为平时没用而它又占用资源,但又不想卸载,所以……其实这个假想“病毒”试验,一是要看看江民的自我保护能力,更重要的则是通过这个假想“病毒”试验来映射出如何清除顽固病毒。<br /><br /> 顽固病毒,到底顽固在哪里?<br /><br /> 首先,顽固病毒的进程、文件(可能隐藏进程及文件)及相关的注册表键值无法删掉(病毒自我保护),其次,杀毒软件反复杀,也杀不掉,清不完(病毒自我复制再生能力强)。<br /><br />那么是什么原因导致病毒顽固清除不掉?<br /><br />1、远程线程注入到某个进程(如Explorer.exe 或其他系统进程);<br />2、驱动加载,一般权限无法操作; <br />3、挂钩SSDT,实时监控并恢复相关的注册表、文件内容;<br />4、挂钩ShellExecuteHooks,使用Explorer 资源管理器自动加载其病毒本身;<br />5、挂钩Svchost.exe系统服务中,注册ServiceDLL,或篡改系统正常的ServiceDLL;<br />6、挂钩WinSock LSP;<br />7、病毒体随机性,以 *door?.dll 的形式变换;<br />8、PE可执行文件感染型,如熊猫烧香。<br /><br /> 那剩下的就只要根据电脑的实际情况,利用所知所学,用杀毒软件再配以必要的辅助工具,如IceSword、Process Explorer、Wsyscheck 、,我想就算它再狠也还是狠不过你吧!<br />| 欢迎光临 周口职业技术学院论坛 (http://zkvtc.com/) | Powered by Discuz! X2.5 |