inlinehook系统的“SSDT”是什么?

inlinehook  时间:2021-07-14  阅读:()

xuetr是什么?

XueTr下载贴: /thread-384301-1-1.html 磁碟机病毒下载贴:/viewthread.php?tid=365919&extra=&page=1 运行磁碟机病毒,1分钟后,运行XueTr,提示有线程注入到XueTr了,对这种提示您一定要小心了,您的系统可能有问题了,如下图:

下载 (7.47 KB)

2009-2-16 13:10

点是干掉这个线程,磁碟机病毒会往每个进程里注入dnsq.dll模块,要安全卸载这个模块,初步需要注意两点: 1.这个模块是否启动线程 2.这个模块是否挂钩子 磁碟机病毒模块很明显会启动线程(暂时称为”注入“线程),你要把它结束掉,或者把这些注入的线程暂停了,由于磁碟机病毒会在自己线程被结束后,重启一个线程,因此这里选择暂停这些线程,下图显示了所有注入的XueTr的线程(另外一个常识就是:XueTr工具一般只有一个线程,而且你每次看线程的时候,线程状态为”正在运行“的那个线程就是XueTr的工作线程,其它的线程都可以干掉):(由于我不太清楚磁碟机病毒的线程注入原理,因此对这种线程注入不知道咋防)

下载 (47.76 KB)

2009-2-16 13:10

暂停这些线程,然后扫描XueTr的钩子(钩子---->应用层钩子,我可以很自豪的说,XueTr目前提供了比较强大的应用层钩子检测能力),扫描结果见下图:

下载 (15.63 KB)

2009-2-16 13:10

很明显磁碟机病毒挂了OpenProcess和EnumProcessModules两个函数,右键恢复它们俩, OK,现在您可以去安全的卸载注入到XueTr中的dnsq.dll了,见下图:

下载 (52.88 KB)

2009-2-16 13:10

到此为止,dnsq.dll已经被安全的卸载,XueTr的各项功能不受影响。

卸载其它进程里的模块,大致过程也是这样的。

另:XueTr新版已经具备一定的容错能力,您即使不恢复那两个钩子,程序也不会崩溃了,只是进程部分功能不好使。

XueTr(简称XT)是最近崛起的一款功能强大的Anti-Rootkit工具。

她于去年年末首发于卡饭辅助区,短短几个月,更新了数十个版本,已成为一款不输于IceSword、狙剑的杀毒利器。

她以稳定、兼容性强受到了很多坛友的欢迎。

可以说,本区的各位坛友一起见证了XT的成长。

在大家的关注下,XueTr的易用性也不断改善。

如果使用得当,可以完全摆脱SREng、AutoRuns等辅助工具,单用XueTr就可以搞定流行病毒。

下面以几个最近或曾经流行的病毒(多个样本同时运行)为例,分享一下我使用XueTr处理病毒的思路。

测试环境:VMWare+Windows XP SP2(由于实机运行部分样本蓝屏,或者效果不明显,采用虚拟机测试)。

为了体现XueTr的强大功能,清理过程尽量不使用其它辅助软件(如SREng、AutoRuns、Windows清理助手等),也不事先分析样本动作,只是在最后使用这些工具检查清理效果

手杀ev.exe过程

这个ev.exe是最近比较流行的网马。

它的查杀过程已经有很多高手研究过了,不过下面单用XueTr清理此病毒。

运行ev.exe,不干扰其运行。

几分钟后,病毒基本稳定了,不再出现生成物,运行XueTr,查看进程(见下图)。

下载 (79.05 KB)

2009-4-29 12:52

重启系统,运行XueTr,弹出线程注入提示

下载 (8.23 KB)

2009-4-29 12:52

选择是,杀掉注入线程。

打开界面后进一步检查查看XueTr线程信息,只有一个线程,XueTr未被注入线程。

下载 (64.77 KB)

2009-4-29 12:52

右键选择“在下方显示模块窗口”,发现XueTr被插入了一堆dll文件,删除并卸载注入的dll,防止干扰XueTr工作。

注:出现删除失败一般是由于文件不存在,XueTr卸载多个dll时有时会出现退出,这个很正常,再次运行即可.

C++实现inline hook,注入后程序异常退出

你要搞清楚一个概念,DLL被加载后地址是要重定位的,所有的全局变量、函数这些,都会随DLL加载的基址不同,地址会进行对应偏移的。

你WriteProcessMemory那句,往oldFunctionAddr地址写东西,肯定会引起异常的,谁知道被你hook的程序这个地址是啥东西?有没有分配过内存呢? 你要往被注入进程写东西,就必须先用VirtualAllocEx申请内存,你一定要牢记这个概念,所有地址都是动态的,函数、全局变量只有偏移量是固定的。

系统的“SSDT”是什么?

SPI栏列举出系统中的网络服务提供者,因为它有可能被用来做无进程木马,注意“DLL路径”,正常系统只有两个不同DLL(当然协议比较多)。

BHO是IE的插件,全名Browser Help Objects,木马以这种形式存在的话,用户打开网页即会激活木马。

Friendhosting全场VDS主机45折,虚拟主机4折,老用户续费9折

Friendhosting发布了今年黑色星期五促销活动,针对全场VDS主机提供45折优惠码,虚拟主机4折,老用户续费可获9折加送1个月使用时长,优惠后VDS最低仅€14.53/年起,商家支持PayPal、信用卡、支付宝等付款方式。这是一家成立于2009年的老牌保加利亚主机商,提供的产品包括虚拟主机、VPS/VDS和独立服务器租用等,数据中心可选美国、保加利亚、乌克兰、荷兰、拉脱维亚、捷克、瑞士和波...

HostSailor:罗马尼亚机房,内容宽松;罗马尼亚VPS七折优惠,罗马尼亚服务器95折

hostsailor怎么样?hostsailor成立多年,是一家罗马尼亚主机商家,机房就设在罗马尼亚,具说商家对内容管理的还是比较宽松的,商家提供虚拟主机、VPS及独立服务器,今天收到商家推送的八月优惠,针对所有的产品都有相应的优惠,商家的VPS产品分为KVM和OpenVZ两种架构,OVZ的比较便宜,有这方面需要的朋友可以看看。点击进入:hostsailor商家官方网站HostSailor优惠活动...

Bluehost美国虚拟主机2.95美元/月,十八周年庆年付赠送顶级域名和SSL证书

Bluehost怎么样,Bluehost好不好,Bluehost成立十八周年全场虚拟主机优惠促销活动开始,购买12个月赠送主流域名和SSL证书,Bluehost是老牌虚拟主机商家了,有需要虚拟主机的朋友赶紧入手吧,活动时间:美国MST时间7月6日中午12:00到8月13日晚上11:59。Bluehost成立于2003年,主营WordPress托管、虚拟主机、VPS主机、专用服务器业务。Blueho...

inlinehook为你推荐
appcan怎样做手机软件oncontextmenuoncontextmenu="return false"是什么意思rdl电脑主机上的dvd+rdl是什么意思mindmanager破解版求亿图mac破解版百度云!!!保留两位有效数字物理中保留两位有效数字是保留小数点后的两位还是从小数点前不是0的数开始保留两位?色库赤峰中色库博红烨锌业有限公司就是冶炼厂在 赤峰的 什么地方,一 人知道吗???问卷星登陆问卷星的使用步骤cf加速器玩CF需要用加速器吗?51信用卡论坛刚才发现51信用卡管家可以查个人征信了,就查了下信用卡信用记录。这是截图,大家帮我看看我的这个逾期12306注册12306网站账户注册
淘宝虚拟主机 国外服务器租用 东莞服务器租用 北京主机租用 vps是什么意思 北京vps 域名解析文件 cn域名个人注册 堪萨斯服务器 分销主机 国外空间服务商 godaddy支付宝 免费ftp站点 秒杀汇 1g内存 卡巴斯基是免费的吗 免费私人服务器 空间登录首页 web服务器是什么 中国电信测速器 更多