标签 ‘病毒’ 下的日志

用WinHEX远程查杀顽固病毒

文章作者:Helvin [E.S.T 顾问团]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com
有个Win2003,跑的服务器不重要,打了补丁很久没重启,前几天蓝屏过,导出蓝屏dmp文件windbg分析,发现Ipnat.sys引起,因为还有其他事情要忙,当时没太在意。今天一看竟然成了肉鸡,疯狂想德国法国的一些80、442、25端口发送包,抓包分析,基本都是病毒体传播和点广告的
病毒本身一共5个文件 srosa.sys hldrrr.exe wintems.exe mdelk.exe 还有一个是放在了Du Meter的自启动下面
冰刃等一些都是“不是有效的win32程序”,杀毒软件更别说了。驱动隐藏驱动、程序、注册表,病毒体、驱动、注册表防删除保护,文件文件夹隐藏设置失效。。。。,因为是远程杀毒,安全模式啥的都不用考虑了。突然看到服务器桌面上装了WinHex,当时爆破一个小软件的时候用的,顺手打开硬盘,找到隐藏的病毒,直接对相应硬盘区域写0,重启。
残留文件删除,注册表清除一下,干净了

Tags: , ,

枚举注册表搜索病毒痕迹的实现思路

作者:灰狐
来源:灰狐's Blog

注:本文已发表在<黑客防线>2008年第1期,转载请注明出处.

在第11期的《黑客防线》中,我那篇关于algsrvs病毒专杀的文章中有点不太完美的地方,就是没有把清理注册表那一部分写完整,一个原因就是我在那里说的因为当时我已经把病毒清理干净了,没有记录下每一个相应键值的位置;还有一个原因就是就算我记录下来了,也是一件相当麻烦的事情,因为病毒在注册表中写入的信息相当地多,大概有几十处,这样一个一个删还不把人累死?

当然也不是没有办法,我今天就用一种比较简单的思路来进行演示:首先完整枚举所有项,检查其键值是否被病毒修改过,然后进入子项中递归调用此函数完成遍历注册表的功能。

为了程序的通用性,今天我就不用VCL库中的Registry类了,改用Windo 阅读全文 »

Tags: ,

利用HIPS工具监视病毒样本的过程

看到沁妍万岁MM利用EQ监视病毒,我就献丑下,一篇利用SSM+Tiny的HIPS工具监视病毒的全过程。转载注明 http://hi.baidu.com/breachme

测试金猪病毒样本的过程
breach 2007年2月18日, 19:41:37
公司放假的前两天,我从朋友那里得到金猪病毒样本,因为忙的缘故,我在公司就测试了一下,后来放假后觉得还缺少了点东西,今天中午(年初一)过去朋友那里借朋友的机器——再测试了一次(自己的那台老古董我想测试过程一定卡死要到砸电脑的地步),晚上回来没有事情做,就坐下来把我的测试过程整理下,写出来,但 阅读全文 »

Tags: ,

分析一个挺有意思的病毒

作者:breach
发表于《黑客手册》2007年第九期

从本文你可以学到:
1. 分析跟踪病毒发作过程
2. 手动删除病毒文件,恢复被破坏的注册表信息

朋友给我一个病毒,说是从他的网站上拿到的,叫我有空帮他分析下,我分析后觉得这个病毒集合几个挺有意思的功能模块,于是就写了本文给各位看客看下。
先说下测试环境:
1、 在windows 2003监视病毒行为,在虚拟机里安装XP系统验证监视结果
2、 监视工具:SSM 2.4.0.618,Tiny Firewall pro 2005
3、 保护系统工具:影子系统2.8.2个人版
4、 希望各位在测试过程前先断网,因为主病毒它会自动上网下载另外的一些病毒并运行它们,那么将会干扰下面的测试过程,影响测试结果。
拿到样本解压缩后,得到一个www.exe,先用卡巴查下病毒,能查杀,显示“已检测到: 阅读全文 »

Tags:

一只纯ASM编写的免杀病毒(开源代码)

软件作者:被诅咒的神
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

这是一只纯ASM编写的病毒,具备文件感染,入口代码变形,自身加密,EPO等功能,是一只无任何
特征码的病毒,设计目的是为对抗反病毒软件的特征码杀毒、行为杀毒和虚拟机杀毒,现有代码
未提供任何破坏功能,但会主动感染可执行文件,而且被感染过的文件很难再还原,这点请注意

另外这东西也提供了Ring0功能,主要用于感染运行中的可执行文件

这东西写完后放了很久,不太记得怎么用了,把代码放上来有兴趣的朋友拿去研究研究,汇编工
具为TASM,由于已经不确定会产生什么后果了,测试时请自行承担风险,还有不要拿去做坏事。

下载:Angel.rar (17 K)

Tags: , ,

反病毒引擎设计之可控制引擎流

作者:nEINEI (neineit_at_gmail.com)
来源:安全焦点

反病毒引擎设计之可控制引擎流
作者 : nEINEI
邮箱 : [email protected]
完成于 :07-07-26

一. 现有引擎体系架构
二. 现有引擎体系存在的不足
三. 针对引擎要做的改进
四. 可控制引擎流的思想
五. 关于未来
阅读全文 »

Tags: