f1driver
2007-03-15, 08:58 AM
藏在核心程式小弟功力很差不能給你答案
不過小弟有碰到就是了....
另外拿我上面說的driver.exe為例
上面說的driver.exe就純粹只是寫入登錄值
這個是這樣
他的特性是病毒架構完成後
會產生
C:\WINDOWS\wuaucll.exe
C:\WINDOWS\SYSTEM32\driver.exe
和
C:\WINDOWS\svchost.com
C:\WINDOWS\cmd.com
會修改HKCR\exefile\shell\open\command中的default為wuaucll.exe "%1" %*"
修改HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
的Shell為xplorer.exe wuaucll.exe
另外會修改
然後driver.exe和wuaucll.exe在啟動程序後
兩者會互相檢查
當其中一個程序被卸載的時候另一個馬上就將卸載的程序補上
補的速度非常快.........這邊有說一下
當初第一次碰到這個木馬的時候
本來想使用taskkill指令製作批次檔來靠電腦處理速度一次兩個程序一起卸載
後來製作好批次檔執行之後結果就開始了無限回圈:|||: .....
程序補上的速度比用批次檔刪的速度還快...更別提開工作管理員結束了..
其中wuaucll.exe每五秒(印象之前看到是寫五秒)會重新寫入上述修改的登錄值
所以程序沒卸載的狀況下修改登錄值後就馬上被寫回去
不過我是有看過有人用匯入登錄檔的方式之後然後直接按reset的:|||:
如果說登錄值沒有修改回去直接將那兩個檔案刪除的話
會造成很多exe檔案無法執行......
這種的光靠工作管理員和檔案總管要殺還蠻難的說
哦~!那這種病毒就蠻可惡的,小弟還沒碰過這麼惡劣的病毒
不過這種病毒主要威脅是什麼?發作時會有什麼危險?
這也是屬於木馬型的病毒之一嗎?
贊助商連結
不過小弟有碰到就是了....
另外拿我上面說的driver.exe為例
上面說的driver.exe就純粹只是寫入登錄值
這個是這樣
他的特性是病毒架構完成後
會產生
C:\WINDOWS\wuaucll.exe
C:\WINDOWS\SYSTEM32\driver.exe
和
C:\WINDOWS\svchost.com
C:\WINDOWS\cmd.com
會修改HKCR\exefile\shell\open\command中的default為wuaucll.exe "%1" %*"
修改HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
的Shell為xplorer.exe wuaucll.exe
另外會修改
然後driver.exe和wuaucll.exe在啟動程序後
兩者會互相檢查
當其中一個程序被卸載的時候另一個馬上就將卸載的程序補上
補的速度非常快.........這邊有說一下
當初第一次碰到這個木馬的時候
本來想使用taskkill指令製作批次檔來靠電腦處理速度一次兩個程序一起卸載
後來製作好批次檔執行之後結果就開始了無限回圈:|||: .....
程序補上的速度比用批次檔刪的速度還快...更別提開工作管理員結束了..
其中wuaucll.exe每五秒(印象之前看到是寫五秒)會重新寫入上述修改的登錄值
所以程序沒卸載的狀況下修改登錄值後就馬上被寫回去
不過我是有看過有人用匯入登錄檔的方式之後然後直接按reset的:|||:
如果說登錄值沒有修改回去直接將那兩個檔案刪除的話
會造成很多exe檔案無法執行......
這種的光靠工作管理員和檔案總管要殺還蠻難的說
哦~!那這種病毒就蠻可惡的,小弟還沒碰過這麼惡劣的病毒
不過這種病毒主要威脅是什麼?發作時會有什麼危險?
這也是屬於木馬型的病毒之一嗎?
贊助商連結