vvedc
一般會員
積分 394
發文 113
註冊 2006-10-19
來自 h.k
狀態 離線
|
#21
相信這是很有用的防衛軟件,要慢慢研究它的用法,多謝。
|
|
2008-7-16 08:58 AM |
|
flyblue
進階會員
積分 2678
發文 213
註冊 2006-10-26
來自 台灣高雄
狀態 離線
|
#22
多種的防護措施多做
多重的保護嚕
感謝YoYo兄分享^^
|
 |
|
|
2008-7-16 07:21 PM |
|
wellsss
資深會員
積分 4336
發文 708
註冊 2006-5-5
狀態 離線
|
 #23
好武器~ 搭配 『冰劍』 協助 "開竅" 。俄羅斯語個人看到大概會馬上投降吧
真有耐心,這 Rootkit Unhooker 3.7.300.509 看起來雖小,但功能不能小看。
雖然沒有用它來除毒的經驗,下來試試。
已列為收藏備用,給劍氣開鋒的寶物之一!!
|
|
|
2008-7-18 01:19 PM |
|
wellsss
資深會員
積分 4336
發文 708
註冊 2006-5-5
狀態 離線
|
#24
報告YOYO大,近日無事連到官方網站 http://rku.nm.ru/ 看看
發現一行字串:
Access to the data has been denied!
Requested URL: http://rku.nm.ru/
Information: Contains recognition pattern of the JS/Iframe.F Java script virus
(汗...)
此外個人經過手下的某家防間諜掃出該軟體,於點選"檔案" → "掃描" 選硬碟後
Rootkit Unhooker 3.7 會自行於system32 建立三個"隨機命名的7-8位數檔案"
而這三個檔名個人實測數字,每次隨機產生的xxxxxxxx.exe檔案都不同。
而這三個隨機檔名檔案都被 Spyware Terminator判定為疑似木馬。
這三組檔案還會自動掛載『服務』驅動執行...(個人用Wsyscheck檢查得知)
由於相關的檔案有問題項目已被個人移除,yoyo大不介意的話我就抽空
再重新執行那動作產生可疑的問題檔,並傳圖片作證。
這裡個人先把上傳掃描結果傳給您看,我是覺得Rootkit Unhooker官方意圖不明。
可以的話,最好暫時選擇別用... 連官方網站都被封鎖了。
http://www.virustotal.com/zh-tw/ ... 7a2c88232f770a17931
檔案 RKUnhooker.EXE 接收於 2008.07.19 09:40:29 (CET)
當前狀態:
結果: 7/33 (21.22%)
CAT-QuickHeal 9.50 2008.07.18 (Suspicious) - DNAScan
eSafe 7.0.17.0 2008.07.17 Suspicious File
Ikarus T3.1.1.34.0 2008.07.19 Trojan-Spy.Win32.Bancos.MI
Panda 9.0.0.4 2008.07.18 Suspicious file
Prevx1 V2 2008.07.19 Suspicious
TrendMicro 8.700.0.1004 2008.07.18 PAK_Generic.001
VBA32 3.12.8.1 2008.07.18 suspected of Embedded.Trojan-Spy.Win32.Agent
補充:http://www.antirootkit.com/software/RootKit-Unhooker.htm 英文版載點
得知結果亦是相同。
補充:個人從某論壇看到Rootkit Unhooker原作者 EP_X0FF的簡介,看來他老兄
網站 '被查封' 是因為惹火了某群人?:
* Jun 26 Thu 2008 19:55
*卡巴斯基的後門
9月12日下午,Rootkit技術研究網站 http://www.rootkit.com/上發表了俄羅斯駭客EP_X0FF的一篇文章:
<<Haxdoors of the Kaspersky Antivirus 6/7>>
(卡巴斯基反病毒軟體6/7中的駭客後門)
EP_X0FF是著名的俄羅斯駭客,曾開發過Rootkit Unhooker,Process walker等國際領先的反ROOTKIT軟體,並擔任微軟SysInternals技術論壇的Malware(惡意軟體)版版主.
該文章中指出,卡巴斯基6.0-7.0中存在多個明顯的可以引發駭客攻擊的BUG,包括對SSDT掛鉤不正確的處理,和開放了一個由Ring3(用戶層)通向Ring0(核心層)
的CallGate(調用門),及其自身的“自我保護”功能相當脆弱等...
ps:感謝 yoyo大的中文化分享跟木馬教學!
[ Last edited by wellsss on 2008-7-20 at 08:57 AM ]
|
|
|
2008-7-20 02:19 AM |
|
yoyo007
論壇貴賓
菸草撐住的日子
 
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
#25
| Quote: | Originally posted by wellsss at 2008-7-20 02:19:
此外個人經過手下的某家防間諜掃出該軟體,於點選"檔案" → "掃描" 選硬碟後
Rootkit Unhooker 3.7 會自行於system32 建立三個"隨機命名的7-8位數檔案"
而這三個檔名個人實測數字,每次隨機產生的xxxxxxxx.exe檔案都不同。
而這三個隨機檔名檔案都被 Spyware Terminator判定為疑似木馬。
這三組檔案還會自動掛載『服務』驅動執行...(個人用Wsyscheck檢查得知)
由於相關的檔案有問題項目已被個人移除,yoyo大不介意的話我就抽空
再重新執行那動作產生可疑的問題檔,並傳圖片作證。 |
|
RkU 有問題這一點我倒是不擔心,因為使用者蠻多的,逆向也大有人在,如果有問題,不至於沉默至今,網路應會有沸沸揚揚的討論。比較好奇的反而是您說的那三個隨機數 EXE,我是沒看到 RkU 有建立這些東東啦,可否請教下您測試的所有具體步驟?謝謝。
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
|
2008-7-21 03:20 AM |
|
