且看3600safe如何查杀高端Rootkit

作者:Secer 发布时间:March 29, 2012 分类:精品软件

 

-强大的3600safe无视360中。。

作者:3600safe

如今网络雨水浑浊,各种木马各类远控比我国人口还多,因此哪怕你做好了十足的防御,装了 一大堆安全防御软件,也难免中招。某日,突然感觉电脑出现异常,用了 Xuetr,PowerTool,RkUnhooker,Gmer扫描了一下,并没有觉得有什么异常,如图1:

clip_image001

这个时候,千万不要掉以轻心,有可能你系统很安全,也有可能你已经遭遇了高端的rootkit。在半信半疑的情况下,轮到3600safe出马一扫,顿时冷汗大冒,如图2:

clip_image002

Xuetr,PowerTool,RkUnhooker,Gmer,你们坑爹啊。由此说明,你电脑确实中了让Xuetr,PowerTool,RkUnhooker,Gmer无法检查出来的rootkit了。

这个时候你肯定会想,纠结是什么样的木马,能有如此本事?首先,你切换到“内核线程”,果然发现一点异常,如图3:

clip_image003

3600safe的"内核线程"已经捕捉到了一点异样,发现了一个隐藏的模块,并且该模块创建了一个线程。由运行状态可以知道,这个线程目前还在执行着,危险啊。继续切换到“系统线程”,如图4:

clip_image004

很明显,在“验证是否系统原生文件”一栏,显示“文件不存在”,说明了这个rootkit已经把它自身的驱动文件删除了。

常识告诉我们,一个木马具有两部分,一部分是ring0下,一部分是ring3下,那么,这样一个隐蔽的rootkit,到底是什么,到底有着什么样的目的呢。让我们来切换到“防御日志”,如图5:

clip_image005

到了这里,懂电脑的人都知道了这个rootkit的结构了,原来是一个远程控制木马,利用系统服务启动,然后利用驱动来做一些非法的事情。根据“进程ID”一栏,得到了pid为1076的进程执行了一个木马,那么定位到“系统进程”1076,列举了一下DLL模块,发现没有异常,由此断定,此rootkit用了更高深的方法来隐藏了进程中的DLL模块了。如图6:

clip_image006

所谓魔高一尺道高一丈,邪不能胜正,我们来看下“系统服务”,如图7:

clip_image007

扑哧!纳尼!居然没有发现服务?到了这里,你不得不惊叹这个rootkit的强大了吗?那你就错了,3600safe还有一招,如图8:

深度的服务扫描,

clip_image008

3600safe会提示:

clip_image009

点“是”,待系统重启之后,rootkit的真面目出来了:

clip_image010clip_image011

到这里,我们已经完全掌握了这个rootkit的特征了。。。下面开始清理扫走它。

第一步:

先结束“系统线程”,一般创建线程的,都是用来反复检查rootkit自身的hook是否被恢复了。如图:

clip_image012

第二步:

恢复rootkit自身的hook,如图:

clip_image013clip_image014

最后禁用服务,删除文件,重启系统,完美的清理了这个rootkit。

总结:为什么3600safe那么轻松的能解决掉危险,原因只有一个,因为3600safe用了比流氓更流氓的技术,只有比流氓更流氓,你才懂流氓~~

谢谢关注并支持3600safe的所有朋友。

3600safe 下载地址 支持系统:windows xp/2003/win7(32bit)

转自http://www.3600safe.com/?post=81

标签: 3600safe

添加新评论 »