越来越恶心了啊。
想出名也不能这样搞。
炒作比较厉害。

运行unreal后，darkspy都不能运行，否则就蓝屏，is倒还可以 。

引用第21楼imaoge于2007-01-27 10:55发表的“”:
运行unreal后，darkspy都不能运行，否则就蓝屏，is倒还可以 。

看来你中毒很深了,嘿嘿....
我测试了下,没问题,DARKSPY本来就不检测STREAM的东西,虽然一直想加入这个功能,可总静不下心来,郁闷......

引用第22楼wowocock于2007-01-27 11:38发表的“”:

看来你中毒很深了,嘿嘿....
我测试了下,没问题,DARKSPY本来就不检测STREAM的东西,虽然一直想加入这个功能,可总静不下心来,郁闷......

但是stream被那个俄罗斯人吹得像朵花似的，哈哈。这么卖力的吹，莫非它们有商业目的？

系统没有问题，如果不运行unreal,即是说如果彻底清除掉unreal，那么运行darkspy是没有问题的。蓝屏得很厉害啊

引用第20楼xtmzl于2007-01-26 10:07发表的“”:
越来越恶心了啊。
想出名也不能这样搞。
炒作比较厉害。

360就爱这么搞，没办法，人品烂到家了

引用第25楼wingsoft于2007-01-29 01:11发表的“”:

360就爱这么搞，没办法，人品烂到家了

流氓也来掺一脚呀

卸载之后能用WinHex看见根目录下的
.:unreal.sys
看后面的属性是(ADS)
即是Alternate Data Streams
微软：How To Use NTFS Alternate Data Streams
http://support.microsoft.com/kb/105763
而注册表的启动路径原来是这个样子啊
\??\C:\:unreal.sys
 

再仔细看了一下NTFS的盘，原来相类似的用法也有啊，如
.:$TXF_DATA
这只是对微软的技术加以变化而已啊，或许可以保证，这种隐藏文件的技术早已经有了。

引用第28楼imaoge于2007-02-15 05:21发表的“”:
再仔细看了一下NTFS的盘，原来相类似的用法也有啊，如
.:$TXF_DATA
这只是对微软的技术加以变化而已啊，或许可以保证，这种隐藏文件的技术早已经有了。

ADS早有了，不过是FileSystemFilter+ADS而已

so old
无非是NTFS流(2000年就有29A牛人写过流的概念病毒) + 传统驱动保护
winhex是完全可以找到的, 因为流只是放在正常文件中的一部分而已, 正常文件一般有至少一个noname $DATA, 而这个带流的文件就多了一个name $DATA, 而这个$DATA name就是这个流名, 不写了, 免得有人说科普:)
对付这种东东其实很简单, 倒是那些喜欢抄作的人让人恶

winhex能找到？你自己看看就知道了，再看看那个Unreal.B,呵呵，象某个搞了7年安全开发的菜鸟估计是想破头也搞不定了
某些搞了几年开发却还是什么都不懂在一个垃圾公司混的菜鸟，实在让人恶呀

楼上的什么意思啊？ 说句360抄作这么来劲，什么菜鸟不菜鸟的啊？
winhex找不到？莫非做了磁盘级的hook？
下个来看看

MJMM说话真尖刻,哈哈,果然是女性特征.

引用第33楼wangjianfeng于2007-03-07 14:55发表的“”:
MJMM说话真尖刻,哈哈,果然是女性特征.

mm？
这人有点莫名哦，还好是个mm，3 8节日到了，祝驱J 驱m们节日快乐

某XX装傻工夫一流

直接向设备发irp的方法磁盘，可以看到rootkit的流（见图），看来俄罗斯的牛人还没有真正做到磁盘级的Rootkit，这个工具我也发了，作者也是个mm：），不过比较漂亮温柔哦（想认识的可以问我要QQ：P）！
驱动很简单，通过文件路径获取驱动DriveObj，再自己创建Irp向这个DriveObj发包，找到流后就是清除这个流了，如果熟悉Fs，应该是很容易的事情了。

又是讨厌的binary文件

晕，死老v，只是个根目录的MFT嘛

看看先，谢谢分享