-
知道最近熊猫比较火爆,赶紧从网上下了一个,美中不足的是熊猫感染的exe文件,无法正常执行。倒是在我的硬盘里面塞了一大堆 desktop_.ini文件,让我不胜其烦。 说实在熊猫采用的技术虽然很一般,但是很有效,要不金山、瑞星、江民的专杀工具的扩展名怎么改扩展名运行。那些...全文
◆
◆
-
guaiguaiguan:给段代码瞧瞧,怎么处理的。我总是在hook Win32K.sys代码中keWaitFor*一个事件,如果只是简单返回一个拒绝的操作状态码,不会出问题,但是这个hook函数的确用户上层用户或者上层应用来确认。但是等到KeWait*返回上层应用或者用户应答结果时,这个等待时间可可能是...(2007-01-27 09:23)
-
killvxk:嘿嘿,那是你们处理的问题~~(2007-01-26 21:43)
-
guaiguaiguan:Win32K.sys NtUserSetWindowsHook系列函数如果只是拒绝比较简单,但是如果希望停下来和用户交互,可没有那么容易了。由于上下文切换,往往有去无回,等不上上层应用的应答,系统就崩掉了。(2007-01-26 20:22)
-
killvxk:嘿嘿,我们过滤消息~(2007-01-26 15:16)
-
wangjianfeng:任何东西都不是绝对的,感染有他的优势,比如现有的ANTI-ROOTKIT虽多只能针对ROOTKIT,可惜熊猫的感染太明显了,文件增大,图标变样,导致大量EXE不可使用. 杀毒软件可以借监AVP,他就HOOK了WIN32 API,过滤了它自己的窗体句柄.(2007-01-26 14:47)
-
killvxk:很少找到我们的东西的窗体~(2007-01-26 13:29)
-
GNiDiA:FindWindow(Ex)/PostMessage(WM_QUIT) 终止进程,这方法被病毒用了几年了,居然屡试不爽,杀毒软件怎么没长进呢?(2007-01-26 10:51)
-
killvxk:这个方法还是不行的~~我挂钩了NtUserXXX级别的玩意~(2007-01-26 09:09)
-
wowocock:本以为可执行感染没有什么前途了,没想到又死灰复燃了,那些该死的文件过滤控制也不知道去干嘛了.关键还是智能化不够.(2007-01-26 09:00)
-
guaiguaiguan:多谢WQXNETQIQI,原来是这样干的。怪不得我想尝试通过拦截enumwindows阻止它没有效果,然而使用postmessage反而很有效。跨进程的窗口消息操作都是可疑的。 居然通过这种方式遍历窗口 The FindWindowEx function retrieves a ...(2007-01-26 08:38)
