-强大的3600safe无视360中。。

作者：3600safe

如今网络雨水浑浊，各种木马各类远控比我国人口还多，因此哪怕你做好了十足的防御，装了 一大堆安全防御软件，也难免中招。某日，突然感觉电脑出现异常，用了 Xuetr，PowerTool，RkUnhooker，Gmer扫描了一下，并没有觉得有什么异常，如图1：

这个时候，千万不要掉以轻心，有可能你系统很安全，也有可能你已经遭遇了高端的rootkit。在半信半疑的情况下，轮到3600safe出马一扫，顿时冷汗大冒，如图2：

Xuetr，PowerTool，RkUnhooker，Gmer，你们坑爹啊。由此说明，你电脑确实中了让Xuetr，PowerTool，RkUnhooker，Gmer无法检查出来的rootkit了。

这个时候你肯定会想，纠结是什么样的木马，能有如此本事？首先，你切换到“内核线程”，果然发现一点异常，如图3：

3600safe的"内核线程"已经捕捉到了一点异样，发现了一个隐藏的模块，并且该模块创建了一个线程。由运行状态可以知道，这个线程目前还在执行着，危险啊。继续切换到“系统线程”，如图4：

很明显，在“验证是否系统原生文件”一栏，显示“文件不存在”，说明了这个rootkit已经把它自身的驱动文件删除了。

常识告诉我们，一个木马具有两部分，一部分是ring0下，一部分是ring3下，那么，这样一个隐蔽的rootkit，到底是什么，到底有着什么样的目的呢。让我们来切换到“防御日志”，如图5：

到了这里，懂电脑的人都知道了这个rootkit的结构了，原来是一个远程控制木马，利用系统服务启动，然后利用驱动来做一些非法的事情。根据“进程ID”一栏，得到了pid为1076的进程执行了一个木马，那么定位到“系统进程”1076，列举了一下DLL模块，发现没有异常，由此断定，此rootkit用了更高深的方法来隐藏了进程中的DLL模块了。如图6：

所谓魔高一尺道高一丈，邪不能胜正，我们来看下“系统服务”，如图7：

扑哧！纳尼！居然没有发现服务？到了这里，你不得不惊叹这个rootkit的强大了吗？那你就错了，3600safe还有一招，如图8：

深度的服务扫描，

3600safe会提示：

点“是”，待系统重启之后，rootkit的真面目出来了：

到这里，我们已经完全掌握了这个rootkit的特征了。。。下面开始清理扫走它。

第一步：

先结束“系统线程”，一般创建线程的，都是用来反复检查rootkit自身的hook是否被恢复了。如图：

第二步：

恢复rootkit自身的hook，如图：

最后禁用服务，删除文件，重启系统，完美的清理了这个rootkit。

总结：为什么3600safe那么轻松的能解决掉危险，原因只有一个，因为3600safe用了比流氓更流氓的技术，只有比流氓更流氓，你才懂流氓~~

谢谢关注并支持3600safe的所有朋友。

3600safe 下载地址 支持系统：windows xp/2003/win7(32bit)

转自http://www.3600safe.com/?post=81