首页>编程与逆向>黑客反汇编之 asm2c>Rootkit Unhooker检测到隐藏驱动,不能清除
回复
« 返回列表
kid850328
kid850328
驱动牛犊
驱动牛犊
  • 注册日期2007-03-02
  • 最后登录2008-03-10
  • 粉丝0
  • 关注0
  • 积分130分
  • 威望6点
  • 贡献值0点
  • 好评度15点
  • 原创分0分
  • 专家分0分
写私信
阅读:4989回复:3

Rootkit Unhooker检测到隐藏驱动,不能清除

楼主#
更多 发布于:2007-03-19 02:06
不能复制,只能用自带的转储功能保存了dumped.sys文件
哪位好心人帮忙看一下

 RkUnhooker report generator v0.5c
==============================================
Rootkit Unhooker kernel version: 3.20.130.388
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
>驱动
驱动: nv4_disp.dll  地址: 0xBF012000 大小: 4530176 字节
驱动: nv4_mini.sys  地址: 0xF72A9000 大小: 3997696 字节

!!!!!!!!!!!隐藏驱动 ?_unknown_module_?
加载位置:  地址: 0x81800000 大小: 3805184 字节

驱动: ALCXWDM.SYS  地址: 0xF7679000 大小: 2326528 字节
驱动: ntkrnlpa.exe  地址: 0x804D8000 大小: 2057216 字节
驱动: PnpManager  地址: 0x804D8000 大小: 2057216 字节
驱动: RAW  地址: 0x804D8000 大小: 2057216 字节
驱动: WMIxWDM  地址: 0x804D8000 大小: 2057216 字节
驱动: Win32k  地址: 0xBF800000 大小: 1839104 字节
驱动: win32k.sys  地址: 0xBF800000 大小: 1839104 字节
驱动: 00000034  地址: 0xF848D000 大小: 880640 字节
驱动: sptd.sys  地址: 0xF848D000 大小: 880640 字节
驱动: sniffer.sys  地址: 0xBA520000 大小: 589824 字节
驱动: Ntfs.sys  地址: 0xF82BB000 大小: 577536 字节
驱动: mrxsmb.sys  地址: 0xEF9B0000 大小: 454656 字节
驱动: tcpip.sys  地址: 0xEFB28000 大小: 360448 字节
驱动: srv.sys  地址: 0xB9AE6000 大小: 335872 字节
驱动: aximn1dl.SYS  地址: 0xF724B000 大小: 303104 字节
驱动: klif.sys  地址: 0xEF975000 大小: 241664 字节
驱动: vmm.sys  地址: 0xEFA4A000 大小: 241664 字节
驱动: tcpip6.sys  地址: 0xEFAC8000 大小: 229376 字节
驱动: safemon.sys  地址: 0xF83BD000 大小: 212992 字节
驱动: update.sys  地址: 0xF0CB3000 大小: 212992 字节
驱动: xAntiArp.sys  地址: 0xF0D18000 大小: 208896 字节
驱动: rdpdr.sys  地址: 0xF0CE7000 大小: 200704 字节
驱动: usbVM31b.sys  地址: 0xEF945000 大小: 196608 字节
驱动: NVSNPU.SYS  地址: 0xF78B1000 大小: 192512 字节
驱动: ACPI.sys  地址: 0xF8447000 大小: 188416 字节
驱动: mrxdav.sys  地址: 0xB9BA0000 大小: 184320 字节
驱动: NDIS.sys  地址: 0xF828E000 大小: 184320 字节
驱动: kmixer.sys  地址: 0xB9571000 大小: 176128 字节
驱动: rdbss.sys  地址: 0xEFA1F000 大小: 176128 字节
驱动: IsDrv120.sys  地址: 0xB61CA000 大小: 172032 字节
驱动: netbt.sys  地址: 0xEFB00000 大小: 163840 字节
驱动: dmio.sys  地址: 0xF83F1000 大小: 155648 字节
驱动: portcls.sys  地址: 0xF7923000 大小: 147456 字节
驱动: USBPORT.SYS  地址: 0xF78E0000 大小: 143360 字节
驱动: afd.sys  地址: 0xEFA85000 大小: 139264 字节
驱动: ipnat.sys  地址: 0xEFAA7000 大小: 135168 字节
驱动: ACPI_HAL  地址: 0x806CF000 大小: 131968 字节
驱动: hal.dll  地址: 0x806CF000 大小: 131968 字节
驱动: fltMgr.sys  地址: 0xF8371000 大小: 131072 字节
驱动: ks.sys  地址: 0xF7903000 大小: 131072 字节
驱动: ftdisk.sys  地址: 0xF8417000 大小: 126976 字节
驱动: kl1.sys  地址: 0xF8257000 大小: 114688 字节
驱动: Mup.sys  地址: 0xF8273000 大小: 110592 字节
驱动: atapi.sys  地址: 0xF83A5000 大小: 98304 字节
驱动: SCSIPORT.SYS  地址: 0xF8475000 大小: 98304 字节
驱动: vmx86.sys  地址: 0xB9B60000 大小: 98304 字节
驱动: KSecDD.sys  地址: 0xF8348000 大小: 94208 字节
驱动: ndiswan.sys  地址: 0xF0D5C000 大小: 94208 字节
驱动: wdmaud.sys  地址: 0xB9C6B000 大小: 86016 字节
驱动: dump_nvatabus.sys  地址: 0xEF931000 大小: 81920 字节
驱动: nvatabus.sys  地址: 0xF8391000 大小: 81920 字节
驱动: parport.sys  地址: 0xF7947000 大小: 81920 字节
驱动: VIDEOPRT.SYS  地址: 0xF7295000 大小: 81920 字节
驱动: ipsec.sys  地址: 0xEFB80000 大小: 77824 字节
驱动: dxg.sys  地址: 0xBF000000 大小: 73728 字节
驱动: sr.sys  地址: 0xF835F000 大小: 73728 字节
驱动: pci.sys  地址: 0xF8436000 大小: 69632 字节
驱动: psched.sys  地址: 0xF0D4B000 大小: 69632 字节
驱动: Cdfs.SYS  地址: 0xF0EC5000 大小: 65536 字节
驱动: AmdK8.sys  地址: 0xF8765000 大小: 61440 字节
驱动: drmk.sys  地址: 0xF8705000 大小: 61440 字节
驱动: NVNRM.SYS  地址: 0xF8735000 大小: 61440 字节
驱动: serial.sys  地址: 0xF8725000 大小: 61440 字节
驱动: sysaudio.sys  地址: 0xF79EB000 大小: 61440 字节
驱动: usbhub.sys  地址: 0xF1ADF000 大小: 61440 字节
驱动: VMNetSrv.sys  地址: 0xF8775000 大小: 61440 字节
驱动: redbook.sys  地址: 0xF8755000 大小: 57344 字节
驱动: cdrom.sys  地址: 0xF8745000 大小: 53248 字节
驱动: CLASSPNP.SYS  地址: 0xF86A5000 大小: 53248 字节
驱动: rasl2tp.sys  地址: 0xF1B3F000 大小: 53248 字节
驱动: i8042prt.sys  地址: 0xF8715000 大小: 49152 字节
驱动: raspptp.sys  地址: 0xF1B1F000 大小: 49152 字节
驱动: STREAM.SYS  地址: 0xF0ED5000 大小: 49152 字节
驱动: VolSnap.sys  地址: 0xF8685000 大小: 49152 字节
驱动: MountMgr.sys  地址: 0xF8675000 大小: 45056 字节
驱动: raspppoe.sys  地址: 0xF1B2F000 大小: 45056 字节
驱动: hcmon.sys  地址: 0xF87A5000 大小: 40960 字节
驱动: NDProxy.SYS  地址: 0xF1AEF000 大小: 40960 字节
驱动: termdd.sys  地址: 0xF1AFF000 大小: 40960 字节
驱动: disk.sys  地址: 0xF8695000 大小: 36864 字节
驱动: Fips.SYS  地址: 0xF1519000 大小: 36864 字节
驱动: isapnp.sys  地址: 0xF8665000 大小: 36864 字节
驱动: msgpc.sys  地址: 0xF1B0F000 大小: 36864 字节
驱动: netbios.sys  地址: 0xF1559000 大小: 36864 字节
驱动: NVENETFD.sys  地址: 0xF1589000 大小: 36864 字节
驱动: oreans32.sys  地址: 0xF1539000 大小: 36864 字节
驱动: wanarp.sys  地址: 0xF1569000 大小: 36864 字节
驱动: Ip6Fw.sys  地址: 0xF89B5000 大小: 32768 字节
驱动: kncv_x.sys  地址: 0xF8905000 大小: 32768 字节
驱动: Npfs.SYS  地址: 0xF8945000 大小: 32768 字节
驱动: fdc.sys  地址: 0xF893D000 大小: 28672 字节
驱动: PCIIDEX.SYS  地址: 0xF88ED000 大小: 28672 字节
驱动: usbehci.sys  地址: 0xF897D000 大小: 28672 字节
驱动: VMparport.sys  地址: 0xF899D000 大小: 28672 字节
驱动: AntiArpNdisProt.sys  地址: 0xF89BD000 大小: 24576 字节
驱动: kbdclass.sys  地址: 0xF8965000 大小: 24576 字节
驱动: mouclass.sys  地址: 0xF896D000 大小: 24576 字节
驱动: npkcrypt.sys  地址: 0xF1EE3000 大小: 24576 字节
驱动: nv_agp.sys  地址: 0xF88FD000 大小: 24576 字节
驱动: rkhdrv31.sys  地址: 0xF88E5000 大小: 24576 字节
驱动: vga.sys  地址: 0xF892D000 大小: 24576 字节
驱动: vmnetbridge.sys  地址: 0xF89A5000 大小: 24576 字节
驱动: Msfs.SYS  地址: 0xF8935000 大小: 20480 字节
驱动: PartMgr.sys  地址: 0xF88F5000 大小: 20480 字节
驱动: ptilink.sys  地址: 0xF8A1D000 大小: 20480 字节
驱动: raspti.sys  地址: 0xF8A25000 大小: 20480 字节
驱动: TDI.SYS  地址: 0xF890D000 大小: 20480 字节
驱动: usbohci.sys  地址: 0xF8975000 大小: 20480 字节
驱动: watchdog.sys  地址: 0xF19B7000 大小: 20480 字节
驱动: Aspi32.SYS  地址: 0xB9CC4000 大小: 16384 字节
驱动: mssmbios.sys  地址: 0xF1C75000 大小: 16384 字节
驱动: ndisuio.sys  地址: 0xF2219000 大小: 16384 字节
驱动: nvnetbus.sys  地址: 0xF81FB000 大小: 16384 字节
驱动: serenum.sys  地址: 0xF81FF000 大小: 16384 字节
驱动: tunmp.sys  地址: 0xF8207000 大小: 16384 字节
驱动: vmnetuserif.sys  地址: 0xB9AD2000 大小: 16384 字节
驱动: BOOTVID.dll  地址: 0xF8A75000 大小: 12288 字节
驱动: Dxapi.sys  地址: 0xF6530000 大小: 12288 字节
驱动: fsvga.sys  地址: 0xF2211000 大小: 12288 字节
驱动: gameenum.sys  地址: 0xF8203000 大小: 12288 字节
驱动: ndistapi.sys  地址: 0xF220D000 大小: 12288 字节
驱动: rasacd.sys  地址: 0xF1966000 大小: 12288 字节
驱动: uphcleanhlp.sys  地址: 0xB9A7E000 大小: 12288 字节
驱动: VMNET.SYS  地址: 0xF1C6D000 大小: 12288 字节
驱动: vmnetadapter.sys  地址: 0xF1C71000 大小: 12288 字节
驱动: vstor2.sys  地址: 0xB9A96000 大小: 12288 字节
驱动: Beep.SYS  地址: 0xF8B87000 大小: 8192 字节
驱动: dmload.sys  地址: 0xF8B69000 大小: 8192 字节
驱动: dump_WMILIB.SYS  地址: 0xF8B95000 大小: 8192 字节
驱动: Fs_Rec.SYS  地址: 0xF8B85000 大小: 8192 字节
驱动: KDCOM.DLL  地址: 0xF8B65000 大小: 8192 字节
驱动: mnmdd.SYS  地址: 0xF8B89000 大小: 8192 字节
驱动: ParVdm.SYS  地址: 0xF8B8F000 大小: 8192 字节
驱动: RDPCDD.sys  地址: 0xF8B8B000 大小: 8192 字节
驱动: USBD.SYS  地址: 0xF8B83000 大小: 8192 字节
驱动: WMILIB.SYS  地址: 0xF8B67000 大小: 8192 字节
驱动: audstub.sys  地址: 0xF18CB000 大小: 4096 字节
驱动: dxgthk.sys  地址: 0xF11ED000 大小: 4096 字节
驱动: msmpu401.sys  地址: 0xF8D1E000 大小: 4096 字节
驱动: Null.SYS  地址: 0xF4A36000 大小: 4096 字节
驱动: pciide.sys  地址: 0xF8C2D000 大小: 4096 字节
驱动: swenum.sys  地址: 0xF168E000 大小: 4096 字节
驱动: ?_unknown_code_page_?  地址: 0x825731D8 大小: 3624 字节
驱动: ?_unknown_code_page_?  地址: 0x825721D8 大小: 3624 字节
驱动: ?_unknown_code_page_?  地址: 0x825711D8 大小: 3624 字节
驱动: ?_unknown_code_page_?  地址: 0x8256E1D8 大小: 3624 字节
驱动: ?_unknown_code_page_?  地址: 0x822BC1D8 大小: 3624 字节
驱动: ?_unknown_code_page_?  地址: 0x821C82E0 大小: 3360 字节
驱动: ?_unknown_code_page_?  地址: 0x8233B590 大小: 2672 字节
驱动: ?_unknown_code_page_?  地址: 0x822C27C0 大小: 2112 字节
驱动: ?_unknown_code_page_?  地址: 0x822BD980 大小: 1664 字节
附件名称/大小 下载次数 最后更新
Dumped.rar (1604KB)  42 2007-03-19 02:06
喜欢0
回复
binjo
binjo
论坛版主
论坛版主
  • 注册日期2003-04-23
  • 最后登录2012-06-25
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望142点
  • 贡献值0点
  • 好评度140点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-03-19 16:34
这个dump有问题吧,看不出什么来
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
板凳#
发布于:2007-03-19 16:38
他的误报率太高,盲目追求检测的效果.只要是内存中存留的PE,全搞出来.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
kid850328
kid850328
驱动牛犊
驱动牛犊
  • 注册日期2007-03-02
  • 最后登录2008-03-10
  • 粉丝0
  • 关注0
  • 积分130分
  • 威望6点
  • 贡献值0点
  • 好评度15点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-03-19 17:08
是误报就好  他的这项隐藏驱动检测平时没有用过 就这一次发现了 还是误报
这功能在什么情况下才能用到啊
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部