-
-
[旧帖] 对机器狗的了解 0.00雪花
-
发表于: 2008-4-11 12:45
-
我今天在论坛里搜了关于机器狗的文章,看到sudami大牛发的关于现在狗一类软件的分析。
很佩服各为大牛的分析。只是由于我自己菜的很。看不懂分析。
只是对机器狗有一些了解。想说下自己的想法。有不对之处请大牛们批评。。。。
下面开始我的分析(纯文字分析 )。。
从07到08以有大半年的时间。机器狗一直都在不断的更新自己。。相信很多搞网吧维护的朋友被
搞的苦不堪言吧。。
我遇到的第一个狗是穿userint.exe(因为此进程只是开机启动一下,开机以后就没有了,很人很难发现)
在网上看了一些文章,关于userint.exe的防御是在%systemroot%/system32/drivers/下建立一个名为pihdd.sys的假文件。。
这样的方法没过几天就不好使了。。
后来经过和朋友的研究发现了冰点的还原原理(这里原理只是个人理解)就是冰点只还原你第一次做的修改。有了这个发现我们就在狗穿userint.exe之前对它进行了修改。果然防了很长的一段时间,(可能我说的原理是对的吧 )
但是过了一段时间也就是最近吧。狗像是疯了一样。什么都穿。explorer.exe userint.exe
conime.exe还有其它的一些进程。。。
我用同样的方法对这些进程进行处理。只是比以前种的少了些。但是还是有一些种的(不明白是为什么。。可能是它还穿了其它的什么进行)
现在人们的防卸主要就是做一些假文件。不过这样的方法也是很有效的。只是狗一更新就还要做一堆假文件。老是被狗咬。。惨啊
。。。。
下面是我的一个想法不知道对不对。因为自己无法实现测试(主要是自己太菜了)。。只能将我的想法说出来。。。看看是不是有人能实现了。。
因为狗要下病毒的前提是要穿进程。。我们可不可以在每次开机进程还没有启动就将所有的进程替换(用来替换的进程是我们先备份好的进程,没有病毒的)。。这样既是被狗穿了,我们一重起机子就又替换回我们没有病毒的进程了。。这样狗再穿也没有用了。。
我这一想法不知道对不对。。希望大家能讨论一下。。。。
由于本人的叙述能力太差。。写的太乱。。请大家原谅。。。。。。
很佩服各为大牛的分析。只是由于我自己菜的很。看不懂分析。
只是对机器狗有一些了解。想说下自己的想法。有不对之处请大牛们批评。。。。
下面开始我的分析(纯文字分析
)。。从07到08以有大半年的时间。机器狗一直都在不断的更新自己。。相信很多搞网吧维护的朋友被
搞的苦不堪言吧。。
我遇到的第一个狗是穿userint.exe(因为此进程只是开机启动一下,开机以后就没有了,很人很难发现)
在网上看了一些文章,关于userint.exe的防御是在%systemroot%/system32/drivers/下建立一个名为pihdd.sys的假文件。。
这样的方法没过几天就不好使了。。
后来经过和朋友的研究发现了冰点的还原原理(这里原理只是个人理解)就是冰点只还原你第一次做的修改。有了这个发现我们就在狗穿userint.exe之前对它进行了修改。果然防了很长的一段时间,(可能我说的原理是对的吧
)但是过了一段时间也就是最近吧。狗像是疯了一样。什么都穿。explorer.exe userint.exe
conime.exe还有其它的一些进程。。。
我用同样的方法对这些进程进行处理。只是比以前种的少了些。但是还是有一些种的(不明白是为什么。。可能是它还穿了其它的什么进行)
现在人们的防卸主要就是做一些假文件。不过这样的方法也是很有效的。只是狗一更新就还要做一堆假文件。老是被狗咬。。惨啊
。。。。下面是我的一个想法不知道对不对。因为自己无法实现测试(主要是自己太菜了)。。只能将我的想法说出来。。。看看是不是有人能实现了。。
因为狗要下病毒的前提是要穿进程。。我们可不可以在每次开机进程还没有启动就将所有的进程替换(用来替换的进程是我们先备份好的进程,没有病毒的)。。这样既是被狗穿了,我们一重起机子就又替换回我们没有病毒的进程了。。这样狗再穿也没有用了。。
我这一想法不知道对不对。。希望大家能讨论一下。。。。
由于本人的叙述能力太差。。写的太乱。。请大家原谅。。。。。。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
