inlinehook系统的“SSDT”是什么?

inlinehook  时间:2021-07-14  阅读:()

xuetr是什么?

XueTr下载贴: /thread-384301-1-1.html 磁碟机病毒下载贴:/viewthread.php?tid=365919&extra=&page=1 运行磁碟机病毒,1分钟后,运行XueTr,提示有线程注入到XueTr了,对这种提示您一定要小心了,您的系统可能有问题了,如下图:

下载 (7.47 KB)

2009-2-16 13:10

点是干掉这个线程,磁碟机病毒会往每个进程里注入dnsq.dll模块,要安全卸载这个模块,初步需要注意两点: 1.这个模块是否启动线程 2.这个模块是否挂钩子 磁碟机病毒模块很明显会启动线程(暂时称为”注入“线程),你要把它结束掉,或者把这些注入的线程暂停了,由于磁碟机病毒会在自己线程被结束后,重启一个线程,因此这里选择暂停这些线程,下图显示了所有注入的XueTr的线程(另外一个常识就是:XueTr工具一般只有一个线程,而且你每次看线程的时候,线程状态为”正在运行“的那个线程就是XueTr的工作线程,其它的线程都可以干掉):(由于我不太清楚磁碟机病毒的线程注入原理,因此对这种线程注入不知道咋防)

下载 (47.76 KB)

2009-2-16 13:10

暂停这些线程,然后扫描XueTr的钩子(钩子---->应用层钩子,我可以很自豪的说,XueTr目前提供了比较强大的应用层钩子检测能力),扫描结果见下图:

下载 (15.63 KB)

2009-2-16 13:10

很明显磁碟机病毒挂了OpenProcess和EnumProcessModules两个函数,右键恢复它们俩, OK,现在您可以去安全的卸载注入到XueTr中的dnsq.dll了,见下图:

下载 (52.88 KB)

2009-2-16 13:10

到此为止,dnsq.dll已经被安全的卸载,XueTr的各项功能不受影响。

卸载其它进程里的模块,大致过程也是这样的。

另:XueTr新版已经具备一定的容错能力,您即使不恢复那两个钩子,程序也不会崩溃了,只是进程部分功能不好使。

XueTr(简称XT)是最近崛起的一款功能强大的Anti-Rootkit工具。

她于去年年末首发于卡饭辅助区,短短几个月,更新了数十个版本,已成为一款不输于IceSword、狙剑的杀毒利器。

她以稳定、兼容性强受到了很多坛友的欢迎。

可以说,本区的各位坛友一起见证了XT的成长。

在大家的关注下,XueTr的易用性也不断改善。

如果使用得当,可以完全摆脱SREng、AutoRuns等辅助工具,单用XueTr就可以搞定流行病毒。

下面以几个最近或曾经流行的病毒(多个样本同时运行)为例,分享一下我使用XueTr处理病毒的思路。

测试环境:VMWare+Windows XP SP2(由于实机运行部分样本蓝屏,或者效果不明显,采用虚拟机测试)。

为了体现XueTr的强大功能,清理过程尽量不使用其它辅助软件(如SREng、AutoRuns、Windows清理助手等),也不事先分析样本动作,只是在最后使用这些工具检查清理效果

手杀ev.exe过程

这个ev.exe是最近比较流行的网马。

它的查杀过程已经有很多高手研究过了,不过下面单用XueTr清理此病毒。

运行ev.exe,不干扰其运行。

几分钟后,病毒基本稳定了,不再出现生成物,运行XueTr,查看进程(见下图)。

下载 (79.05 KB)

2009-4-29 12:52

重启系统,运行XueTr,弹出线程注入提示

下载 (8.23 KB)

2009-4-29 12:52

选择是,杀掉注入线程。

打开界面后进一步检查查看XueTr线程信息,只有一个线程,XueTr未被注入线程。

下载 (64.77 KB)

2009-4-29 12:52

右键选择“在下方显示模块窗口”,发现XueTr被插入了一堆dll文件,删除并卸载注入的dll,防止干扰XueTr工作。

注:出现删除失败一般是由于文件不存在,XueTr卸载多个dll时有时会出现退出,这个很正常,再次运行即可.

C++实现inline hook,注入后程序异常退出

你要搞清楚一个概念,DLL被加载后地址是要重定位的,所有的全局变量、函数这些,都会随DLL加载的基址不同,地址会进行对应偏移的。

你WriteProcessMemory那句,往oldFunctionAddr地址写东西,肯定会引起异常的,谁知道被你hook的程序这个地址是啥东西?有没有分配过内存呢? 你要往被注入进程写东西,就必须先用VirtualAllocEx申请内存,你一定要牢记这个概念,所有地址都是动态的,函数、全局变量只有偏移量是固定的。

系统的“SSDT”是什么?

SPI栏列举出系统中的网络服务提供者,因为它有可能被用来做无进程木马,注意“DLL路径”,正常系统只有两个不同DLL(当然协议比较多)。

BHO是IE的插件,全名Browser Help Objects,木马以这种形式存在的话,用户打开网页即会激活木马。

UCloud新人优惠中国香港/日本/美国云服务器低至4元

UCloud优刻得商家这几年应该已经被我们不少的个人站长用户认知,且确实在当下阿里云、腾讯云服务商不断的只促销服务于新用户活动,给我们很多老用户折扣的空间不多。于是,我们可以通过拓展选择其他同类服务商享受新人的福利,这里其中之一就选择UCloud商家。UCloud服务商2020年创业板上市的,实际上很早就有认识到,那时候价格高的离谱,谁让他们只服务有钱的企业用户呢。这里希望融入到我们大众消费者,你...

wordpress投资主题模版 白银黄金贵金属金融投资网站主题

wordpress投资主题模版是一套适合白银、黄金、贵金属投资网站主题模板,绿色大气金融投资类网站主题,专业高级自适应多设备企业CMS建站主题 完善的外贸企业建站功能模块 + 高效通用的后台自定义设置,简洁大气的网站风格设计 + 更利于SEO搜索优化和站点收录排名!点击进入:wordpress投资主题模版安装环境:运行环境:PHP 7.0+, MYSQL 5.6 ( 最低主机需求 )最新兼容:完美...

3C云1核1G 9.9元 4核4G 16元 美国Cera 2核4G 24元

3C云互联怎么样?3C云互联专注免备案香港美国日本韩国台湾云主机vps服务器,美国高防CN2GIA,香港CN2GIA,顶级线路优化,高端品质售后无忧!致力于对互联网云计算科技深入研发与运营的极客共同搭建而成,将云计算与网络核心技术转化为最稳定,安全,高速以及极具性价比的云服务器等产品提供给用户!专注为个人开发者用户,中小型,大型企业用户提供一站式核心网络云端服务部署,促使用户云端部署化简为零,轻松...

inlinehook为你推荐
人民日报谈扫码点餐餐厅扫码点餐系统流程是什么0x800700050x80070005拒绝访问主要是什么问题元宝网元宝网里面的一个币是真的投资赚钱吗showwindowC#中showwindow控件在哪里??知识库管理系统如何加强知识库的管理oncontextmenuoncontextmenu="return false"是什么意思deviceid如何查看自己安卓手机的Android Device IDeditplus破解版DBTools Manager Professional 破解版在哪里可以下载?丁奇王下七武海和四皇分别是谁?丁奇赛尔号丁奇技能表,带等级,刷什么学习力好?
美国虚拟空间 shopex虚拟主机 日本动态vps 动态ip的vps 中国域名交易中心 金万维动态域名 awardspace cve-2014-6271 mobaxterm 最好的空间 云全民 老左来了 卡巴斯基免费试用 免费dns解析 www789 论坛主机 97rb hdsky 开心online 脚本大全 更多