偵測很容易,只要加入病毒碼即可,但如果系統已經被Rootkit感染,那很多防毒軟體到現在都不行(不是他們沒有這個技術,而是非常可能造成系統不隱定,所以,不敢加此功能)。作者:haol
如果中了rootkit掃的到嗎?
答案是.........
 |
|
偵測很容易,只要加入病毒碼即可,但如果系統已經被Rootkit感染,那很多防毒軟體到現在都不行(不是他們沒有這個技術,而是非常可能造成系統不隱定,所以,不敢加此功能)。如果中了rootkit掃的到嗎?
答案是.........
實際上並不是閣下所說那麼容易偵測到大部分的防毒廠商都可以偵測到Rootkit...只是偵測數量的多寡而已
遇到才知道.......
最近發現2個rootkit.ads.i
皆為.sys (試了f-xx跟soxx anti-rxx都lose)
試了一些工具hijackfrxx(看不到它載入項目)
還有試了一下費x殺手 kixx
到安全模式下也沒有辦法動到它,av沒發現當然刪不掉
也就是系統中了rootkit後反而被系統保護,你的av當然對它沒輒
此文章於 2006-11-17 04:16 PM 被 haol 編輯。
試試看Kaspersky和BD吧...兩者的Anti-Rootkit都不在話下...實際上並不是閣下所說那麼容易偵測到
遇到才知道.......
最近發現2個rootkit.ads.i
皆為.sys (試了f-xx跟soxx anti-rxx都lose)
試了一些工具hijackfrxx(看不到它載入項目
還有試了一下費x殺手 kixx
到安全模式下也沒有辦法動到它,av沒發現當然刪不掉
也就是系統中了rootkit後反而被系統保護,你av當然對它沒輒(Kaspersky和BD 10都是內建的)
如果你用kav的話開啟行為判斷實際上並不是閣下所說那麼容易偵測到
遇到才知道.......
最近發現2個rootkit.ads.i
皆為.sys (試了f-xx跟soxx anti-rxx都lose)
試了一些工具hijackfrxx(看不到它載入項目
還有試了一下費x殺手 kixx
到安全模式下也沒有辦法動到它,av沒發現當然刪不掉
也就是系統中了rootkit後反而被系統保護,你av當然對它沒輒
絕對不會有漏網之魚
當然不行試試看Kaspersky和BD吧...兩者的Anti-Rootkit都不在話下...
就算辨識也殺不掉
一開始只是在system32發現一隻dll的木馬,但是那隻木馬卻出奇的強韌,不只是沒有啟動項目,連一些費x殺手、killbxx and hijackthxx連安全模式下連動不了它(拒絕存取,右鍵也沒有剪下 刪除...),試了一些av重開機後還是存在
此文章於 2006-11-17 09:37 PM 被 haol 編輯。
再來推測可能是rootkit,那台電腦沒裝kav
中了毒裝kav也殺不死,使用了f-xx跟soxx的anti-rxx沒反應
http://en.wikipedia.org/wiki/Rootkit
這裡的某工具列出一些.sys可能有問題
此文章於 2006-11-17 09:45 PM 被 haol 編輯。
也試了大陸的3家av線上
只有瑞x有反應
\system32\drivers axx46.sys rootkit.ads.i
\system32\axx46.dll Trojan.DL.QQHelper.emi
roorkit並不是想像中那樣
偵測難(對已中獎來說),清除也難..
最後靠開機光碟的命令字元刪掉的......
此文章於 2006-11-17 09:55 PM 被 haol 編輯。
FORMAT在重灌應該也可以
關於axx46.sys的樣本
上傳用virustotal掃,發現大多av都能偵測到,只是在感染時(\system32下)掃不到
1.在中鏢下不易察覺
2.無法清除
搜尋一下rootkit.ads.i,發現大陸很流行,都有殺不掉的情形....
請問sai7sai大大有清除rootkit的方法嗎?
此文章於 2006-11-17 10:07 PM 被 haol 編輯。
該木馬應該可以複製吧...複製一份給Kaspersky...3個小時之後就抓得到了(1小時內回覆,2小時內更新)..當然不行就算辨識也殺不掉
記得要求在病毒資料庫中加入解毒的方法...
發表文章規則
| XML | RSS 2.0 | RSS |
本討論區所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email:[email protected] 處理。
回覆時引用此文章
書籤