还剩1页未读,继续阅读
文本内容:
rootkit木马查杀实录WEB平安电脑资料中rootkit类木马/后门,如今已经成为一种新的“时髦”,关于rootkit类木马/后门,目前为止,我只拿到了一个样本此样本是个夹带rootkit(文件名为msdirectx.sys)的后门,卡巴斯基报——Backdoor.Win
32.Irofer.13b04关于这个后门,在“Rootkit为什么难缠”一帖中已经粗略的介绍过其感染特点但是,那个帖子是在监测到病毒文件的条件下谈查杀方法然而,来求救的朋友们,往往是在不知不觉的情况下感染了这类木马/后门,不知系统中存在那些病毒文件,更不要说病毒文件名及其所在位置了再者,即使知道了病毒文件名,由于那个msdirectx.sys的掩护,用一般的常规方法在WINDOWS形式下也搜不到病毒文件的位置上述内容正是查杀rootkit类木马的难点怎么办?有方法古人云“工欲善其事,必先利其器”因此,先介绍对付这类木马/后门的工具【工具1】DLLPARE(Qoo酷儿汉化,本帖10楼有下载)——侦察可执行文件.exe及其所在位置注DLLPARE不能放置在带双字节的目录中运行,例如是中文命名的文件夹,即不能放置在“桌面”中运行【工具2】KillBox(Qoo酷儿汉化,本贴11楼有下载)——删除病毒文件.exe【工具3】IceSword——删除.sys文件用(本例是msdirectx.sys),接下来说说查杀过程
1、重启到平安形式下运行DLLPARE,扫描、比拟C盘中的.exe(图
1、图2),找到多出来的那些.exe(图3),很可能就是你要找的病毒创立的可执行文件
2、接着,在平安形式下,确认病毒文件名及其所在途径后,用KillBox强行删除病毒的.exe文件(图4)
3、重启到普通WINDOWS形式后,用WINDOWS的搜索功能寻找病毒的“隐身工具”——msdirectx.sys(图5)找到后,用IceSword删除
4、搜索病毒在表中添加的键值(图6)找到后删除(图
7、图8)至此,杀毒操作完成注1DLLPARE扫出来的“多余文件”并非全部是病毒文件,应仔细甄别假如确实搞不清楚那个是病毒文件,删除前务必备份待删除的文件,以防误删!注2本贴是就一个特定的样本谈被动中招后的手工查杀思路与操作病毒、木马的变种不止这一个自己动手查杀时,请不要拘泥于本帖提到的详细的病毒文件名不同的变种感染系统后,生成的病毒文件名是不一样的图12467图8模板内容仅供参考 。