Win8系统中的“以毒攻毒”实验
发布时间:2012-06-17 01:00:37作者:知识屋
在Win8下玩儿ZeroAccess新变种,无辅助工具可用(XueTr等在Win8下不能运行) 。不脱离中毒环境,进入PE,要删除病毒释放的所有文件,貌似不大可能。
由于之前观察此毒时发现了一个线索:此毒可以重复感染同一系统。重复感染时,病毒程序会重新命名病毒文件所在目录。重命名前,它会先删除相应目录。由此,俺萌生了在中毒环境下“以毒攻毒”的思路,结果满意。
以下详述整个过程。
系统背景:系统Win8。
应用程序:安全软件有: 毒霸2012(Win8预览版)、Windows Defender、CA HIPS ;应用软件有:Acronis True Image、office 2010、adobe acrobat pro。
操作流程:
1、病毒样本经毒霸2012 验明正身(图1)。然后关闭毒霸2012。关闭Windows Defender、CA HIPS。
2、运行病毒样本,让其长驱直入。待样本完成运行后,重启系统。让它完全植入系统。(图2)
3、重启后,用毒霸2012扫一下病毒目录。结果可以预料:(图3)
4、调整一下CA HIPS的设置,再次运行病毒样本,开始“以毒攻毒”操作。(图4-图11)
5、查看“以毒攻毒”的效果(图12-图13)
6、收拾残局(图14):
7、重启系统。检查有无被感染的系统驱动(图15):
搞掂! www.zhishiwu.com
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
知识阅读
软件推荐
更多 >
-
1菜鸟简单抓肉鸡(如何抓肉鸡)
2011-06-17
-
2
电脑开机时出现lass.exe进程是病毒吗?
-
3
自拍须谨慎!教你如何通过照片定位查看拍摄地点
-
4
电脑病毒最基础知识
-
5
黑客学员必须了解的C语言技术
-
6
精典详细内网渗透专题文章
-
7
教你破解Tp-Link的无线路由密码
-
8
解决SecureCRT中文显示乱码
-
9
QQ电脑管家和360哪个好?横评实测对比
-
10
攻防实战:无线网络路由入侵过程
