|
清除pcshare驱动木马手记(1)
俺也不敢说是彻底清除的,因为确实没有彻底清除,但是俺觉得比彻底清除要好,为什么,下文告诉你
天本来测试pCShare木马呢,那天伤口给了我一个破解版本的,后来才知道是假得,配置了以后不能上线,我郁闷了,又担心着别人的套,所以打起精神查杀木马.这个木马号称无端口无进程的,果然很阴险的,很久以前测试pcshare的一个键盘记录器也是驱动隐藏的,费了老劲了~所以这次直接就用IceSWord了
说道IceSword,简直是极品杀马工具啊, IceSword使用大量新颖的内核技术,使得这些后门无处可躲, 具备反隐藏、反保护的功能(这句是网上抄来的:-d),我对作者真是佩服的不得了,对系统内核的研究应该排在国内前列了,至今没有谁感大声宣布,自己写的木马可以躲过IceSword,上次pcshare的管理员口出狂言,说只要他想写,直接HOOK IceSword的窗口,可以躲过IceSword,笑的我满地找牙,有本事真写一个出来看看,你能抓住他窗口那也算国际首创了,呼呼~又唠叨了继续
以看到红色的进程,程序带进程保护的,删掉一个又会生成一个,应该是互相监视所以不考虑这个了~直接找文件的源,exe文件源偶不知道在那里,也不知道有没有,反正我没找到,选IceSword的SSDT(系统服务描述符表),在这里可以看到红色的驱动的
试了,在windows下是看不到那个驱动的,废话,人家是国内’首创’的 IceSword有一个文件管理,这个文件管理同样也是RING0级别的,所以没有什么隐藏可以瞒过它的,记好那个可疑驱动的位置,打开IceSword的文件浏览器,找到,删除可疑驱动,ok
启~然后就大功告成
然后我又测试pcshare,点击生成好的木马,竟然没反应了,木马文件不自己删除,也不运行,呵呵,因祸得福~莫名其妙对pcsahre竟然有了免疫功能既然杀掉了,俺也没继续找什么其他文件和启动项,有兴趣得可以用注册表监视器看看
|
