扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:卡饭网 来源:卡饭网 2008年8月21日
系统背景:
1、Tiny文件防护中建立system_dlls组和My_Apps组,录入system32和dllcache目录下的所有dll和.exe。目的:监控这些系统dll、.exe的MD5。有此设置,系统DLL、.exe一旦被篡改,Tiny将显示。
2、用Tiny禁止注册表AppInit_DLLs项的写入。
3、放开Tiny有关文件防护、注册表防护的其它设置。
运行病毒样本Gameeeeeee.exe。
用Tiny查system32目录下的taskmger.exe、debug.exe和comctl32.dll3个文件的MD5,并与原先录入的相应文件的MD5比较,结果:均发生变化。说明病毒已经得逞。
查看Tiny的activity monitor日志,病毒正在傻傻的写AppInit_DLLs,但总写不成。
乘机用IceSword将I386目录下的taskmger.exe、debug.exe和comctl32.dll分别拷贝到dllcache和system32目录下。
再检查、对比这3个文件的MD5值。结果:与运行病毒前录入的相同。
结束病毒进程。删除windows目录下的四位随机字母.exe以及病毒从网络下载到system32目录的那堆病毒文件及相应的注册表项。完事。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号