|
|
本帖最后由 yjd 于 2016-7-1 16:56 编辑
我目的就是简单方便,自己定义目录名称。
写过程序的人都知道需要按一定规则。比如全盘搜索并遍历目录及子目录再根据文件类型实施感染。
当然你要我说复杂的。比如病毒像dg那种方式基于磁盘结构读取那我就没什么好说了^_^。
。我U盘fat32分区,你没得设置ntfs权限。
还有厉害的病毒前几年出过一个,是你没见过,驱动级别类xuetr,你设置ntfs对它来说是小意思,分分钟钟能改权限,自建文件系统都有,发个以前的:
费了不少劲帐号登不进邮箱收不到。最后还是google给力 凭记忆总算搜到这篇文章。
TDL病毒于2008年首次被发现,作为当时最危险的Rootkit,其第一个版本使用了FSD过滤从而绕过当时的很多Anti-Rootkit软件。
第二代TDL病毒做了很多改善,其中包括更加积极的自我保护机制(比如基于白名单的IofCompleteRequest与IofCallDriver过滤)。
从3.0版本开始TDL的开发团队采用了大量的免杀手法,值得对此感兴趣的朋友学习:
3.24 锁定磁盘中的感染文件
3.25 修复由于微软MS10- 015补丁带来的蓝屏死机问题(由于几个硬编码值的问题,会导致系统蓝屏重启,而且将一直如此 -_-!)
3.26 锁定删除文件
3.27 绕过SPTI-based的专杀检查,也就是TDSSRemover的1.6版
3.27a 绕过了卡巴斯基TDSSKiller的检查
3.27b 添加了完整性检查机制
3.27c 改进了I/O过滤机制,绕过了更多专杀工具的查杀
3.27d 修改了感染策略,绕过了大部分专杀工具的查杀
4.00 2010年8月诞生,支持x64并使用了Bootkit技术
TDL4是一个异常强大的Rootkit,现在国内的很多牛人都在尝试逆向分析这个病毒,下面是关于这个病毒的一些信息……
技术特点:
1、目前地球上第一个已知的与Windows x64兼容的内核级Rootkit ^_^。
2、使用bootkit技术加载自己,并绕过x64上的驱动签名验证机制。
3、使用dll注入(x86下使用cmd.dll,x64下使用cmd64.dll)。
4、为了保护病毒主体使用 VFS文件系统保存所有相关数据。
文件结构:
cfg.ini - 配置文本文件
cmd.dll - 被注入到x86进程
cmd64.dll - 同上(x64版本)
mbr - 原主引导记录的副本
ldr16 - Rootkit的loader部分,由被感染的MBR获得控制权限,并进行下一步的Rootkit的加载
ldr32 - Rootkit驱动,负责加载主要的rootkit驱动
ldr64 - 同上(x64版本)
drv32 - 主Rootkit驱动,支持VFS
drv64 - 同上(x64版本)
-------------------------
上面5大说的改扩展名也不可取。这样看写病毒的人是怎么写了。要是只按扩展名判断来感染那算是小小菜写的比较低级了。
总的来说,一切取决于病毒编写者。
|
|
IP卡
狗仔卡
发表于 2016-6-30 09:05:17
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
