设为首页收藏本站

周口职业技术学院论坛

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 2668|回复: 5
打印 上一主题 下一主题

假如江民2008是 - 病毒……

[复制链接]

2213

主题

17

好友

38万

积分

管理员

Rank: 9Rank: 9Rank: 9

论坛管理员 社区居民

跳转到指定楼层
楼主
发表于 2008-7-10 05:40:58 |只看该作者 |倒序浏览
<br />    看到这几个字,有点怪怪的吧,什么叫假如江民2008是“病毒”……啊?大家都知道,在和平年代国家为了保持军队的战斗力,那就会时不时的搞些军事演习,演习中一般分为红蓝两方,对方就是你的假想敌人,在演习中你就得把这个假想敌人灭掉。<br />    那今天我们就把这种模式搬到IT行业中来试试,玩玩这个假想“病毒”! 2007年有期《电脑报》里江民不是被评为最高4A佳绩吗,呵呵~~这说明江民就不是随便盖滴!这里我们就以江民为例吧,还请大家多多指点。江民的粉丝们别乱扔砖头啊。<br /><br />    安装好江民后就可以开始进攻了。首先在任务栏里删除江民的kvsrvxp.exeKVMonXP.kxp程序,会显示无法中止进程。如图:<br /><br /><br /><br /> <br /><br />    嗯!看来江民做得不错,我们要从任务栏进程发起攻击是搞不定它的(这不废话吗,要是在进程里都被你干掉了,那还有得混?),既然删进程不行那就试试直接删你的文件,呵呵~~这个大家不想都知道,在江民还在使用过程中要删除其文件那也是没门的。笔者试过了,不管关不关掉江民监控中心(就是关掉KVMonXP.kxp,但还有个kvsrvxp.exe),除了江民的Data文件里的文件(该文件夹下的可能是江民的一些数据和日志,其所有文件都能删,但该Data文件夹不能删)外,其它任何一个删不掉。如图:<br /><br /> <br /><br /><br /> <br /><br />  删不掉?仅仅是因为它还有程序在使用中吗?没这么简单,这是因为江民修改了NtOpenFile函数,通过SSDT挂钩方式来保护其文件不被恶意删除。<br /><br /> <br /><br /><br /> <br /><br />    也删不掉它文件,那就再来服务里试试,改变或停掉它的服务类型,一般的杀软用服务管理器改变其服务类型差不多都能搞定。立马找到服务—&gt;KVSrvXP&gt;右击属性—&gt;启动类型,改为手动或禁用,晕~~这也拒绝访问,这如果是病毒的话……汗~~<br /><br /> <br /><br /><br /> <br /><br />为什么改不了江民的服务启动类型呢?打开IceSword,在SSDT里也可找到红色的江民修改的NtSetValueKey函数。<br /><br /> <br /><br /><br /> <br /><br />       好,到这里我们知道了为什么干不掉假想“病毒”——江民了,它主要是利用SSDT挂钩方式来保护其进程、文件及服务。我们只要恢复被它修改的SSDT挂钩,那我们就可以……嘿嘿,想干嘛就干嘛了。<br /><br />   在IceSword里设置禁止进线程创建,然后找到SSDT项,选中所有被江民修改的项(显示为红色的项)修复,这时会发现不管是在Process Explorer里还是在IceSword里仍然还不能删除它的进程也不能改动它的服务?而且IceSword里刚恢复的那些SSDT挂钩过一会又被还原了,又是一片红……要是这是病毒,这些方法还搞不定的话,那真晕了。后面就想到,在进程这些操作了是不是也重启才能生效呢?于是重启,哈哈~~这个假想“病毒”果然服输给干掉了,不过江民也真够人折腾的,我也服了!<br /><br /><br />说在最后:<br />    说了上面那么多还没说到点子上,罪过,罪过。<br /><br />    最开始是源于江民安装后服务默认的是自启动,一开机就有个kvsrvxp.exe进程,由于不想看到这家伙,因为平时没用而它又占用资源,但又不想卸载,所以……其实这个假想“病毒”试验,一是要看看江民的自我保护能力,更重要的则是通过这个假想“病毒”试验来映射出如何清除顽固病毒。<br /><br />    顽固病毒,到底顽固在哪里?<br /><br />    首先,顽固病毒的进程、文件(可能隐藏进程及文件)及相关的注册表键值无法删掉(病毒自我保护),其次,杀毒软件反复杀,也杀不掉,清不完(病毒自我复制再生能力强)。<br /><br />那么是什么原因导致病毒顽固清除不掉?<br /><br />1、远程线程注入到某个进程(如Explorer.exe 或其他系统进程);<br />2、驱动加载,一般权限无法操作;        <br />3、挂钩SSDT,实时监控并恢复相关的注册表、文件内容;<br />4、挂钩ShellExecuteHooks,使用Explorer 资源管理器自动加载其病毒本身;<br />5、挂钩Svchost.exe系统服务中,注册ServiceDLL,或篡改系统正常的ServiceDLL<br />6、挂钩WinSock LSP<br />7、病毒体随机性,以 *door?.dll 的形式变换;<br />8PE可执行文件感染型,如熊猫烧香。<br /><br />    那剩下的就只要根据电脑的实际情况,利用所知所学,用杀毒软件再配以必要的辅助工具,如IceSwordProcess ExplorerWsyscheck ,我想就算它再狠也还是狠不过你吧!<br />
点这里浏览我曾发表的文章 论坛交流群:52428950 My QQ:66565841
回复

使用道具 举报

2213

主题

17

好友

38万

积分

管理员

Rank: 9Rank: 9Rank: 9

论坛管理员 社区居民

沙发
发表于 2008-7-10 06:27:09 |只看该作者
<p>木马病毒也可以做到这样的,只是他选择了做杀毒软件。</p>
点这里浏览我曾发表的文章 论坛交流群:52428950 My QQ:66565841
回复

使用道具 举报

176

主题

2

好友

214748万

积分

超级版主

最佳男演员

Rank: 8Rank: 8

优秀斑竹奖

板凳
发表于 2008-7-10 17:19:32 |只看该作者
<font color=#ff99cc>没用过江民<img src=\"http://www.biaoqing.com/Resource/YangCongTou/19.gif\" border=0 /></font>
中国著名电影电视剧群众
国家一级退让股演奏者
“出尔反尔表演艺术”优秀传承者
回复

使用道具 举报

2213

主题

17

好友

38万

积分

管理员

Rank: 9Rank: 9Rank: 9

论坛管理员 社区居民

地板
发表于 2008-7-10 20:21:25 |只看该作者
你回头试试你能完全关闭杀毒软件么。。。进程里也不要有它的东西。。。
点这里浏览我曾发表的文章 论坛交流群:52428950 My QQ:66565841
回复

使用道具 举报

120

主题

4

好友

4514

积分

超级版主

http://www.hnjzr.com

Rank: 8Rank: 8

社区居民

5#
发表于 2008-9-2 19:05:28 |只看该作者
用绿色版的杀毒软件还不如不用,我就不用,假如有人使坏,有后门......后果....
我一再强调做人要低调,可你们还是给我掌声和微笑
回复

使用道具 举报

176

主题

2

好友

214748万

积分

超级版主

最佳男演员

Rank: 8Rank: 8

优秀斑竹奖

6#
发表于 2008-9-2 21:30:34 |只看该作者
我一直信赖金山。用着不错。。
中国著名电影电视剧群众
国家一级退让股演奏者
“出尔反尔表演艺术”优秀传承者
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

手机版|Archiver|周口职业技术学院论坛    

GMT+8, 2024-11-16 04:06 , Processed in 1.552890 second(s), 22 queries .

Powered by Discuz! X2.5

© 2001-2013 Comsenz Inc.| Style by 913TT

!fastreply! 回顶部 !return_list!