-
最新消息, 两名俄罗斯黑客EP_XOFF和MP_ART于美国时间19日上午7时45公布了他们的新型Rootkit技术, 命名为"Unreal", 目前所有的Rootkit检测工具均对其无效, 中国RootKit研究者MJ0011在16时53分公布了对这种恶...全文
◆
◆
-
Men like wind:so old 无非是NTFS流(2000年就有29A牛人写过流的概念病毒) + 传统驱动保护 winhex是完全可以找到的, 因为流只是放在正常文件中的一部分而已, 正常文件一般有至少一个noname $DATA, 而这个带流的文件就多了一个name $DATA, 而这个$DA...(2007-03-07 11:22)
-
WQXNETQIQI:引用第28楼imaoge于2007-02-15 05:21发表的“”: 再仔细看了一下NTFS的盘,原来相类似的用法也有啊,如 .:$TXF_DATA 这只是对微软的技术加以变化而已啊,或许可以保证,这种隐藏文件的技术早已经有了。 ADS早有了,不过是FileSystemFilt...(2007-02-15 08:21)
-
imaoge:再仔细看了一下NTFS的盘,原来相类似的用法也有啊,如 .:$TXF_DATA 这只是对微软的技术加以变化而已啊,或许可以保证,这种隐藏文件的技术早已经有了。(2007-02-15 05:21)
-
imaoge:卸载之后能用WinHex看见根目录下的 .:unreal.sys 看后面的属性是(ADS) 即是Alternate Data Streams 微软:How To Use NTFS Alternate Data Streams http://support.microsoft.co...(2007-02-15 05:02)
-
WQXNETQIQI:引用第25楼wingsoft于2007-01-29 01:11发表的“”: 360就爱这么搞,没办法,人品烂到家了 流氓也来掺一脚呀(2007-01-29 01:22)
-
wingsoft:引用第20楼xtmzl于2007-01-26 10:07发表的“”: 越来越恶心了啊。 想出名也不能这样搞。 炒作比较厉害。 360就爱这么搞,没办法,人品烂到家了(2007-01-29 01:11)
-
imaoge:系统没有问题,如果不运行unreal,即是说如果彻底清除掉unreal,那么运行darkspy是没有问题的。蓝屏得很厉害啊(2007-01-28 20:46)
-
kernel_kernel:引用第22楼wowocock于2007-01-27 11:38发表的“”: 看来你中毒很深了,嘿嘿.... 我测试了下,没问题,DARKSPY本来就不检测STREAM的东西,虽然一直想加入这个功能,可总静不下心来,郁闷...... 但是stream被那个俄罗斯人吹得像朵花似的...(2007-01-27 12:16)
-
wowocock:引用第21楼imaoge于2007-01-27 10:55发表的“”: 运行unreal后,darkspy都不能运行,否则就蓝屏,is倒还可以 。
看来你中毒很深了,嘿嘿....
我测试了下,没问题,DARKSPY本来就不检测STREAM的东西,虽然一直想加入这个功能,可总静不...(2007-01-27 11:38)
