[原创]用WinHEX远程查杀顽固病毒
文章作者:Helvin [E.S.T 顾问团]信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
有个Win2003,跑的服务器不重要,打了补丁很久没重启,前几天蓝屏过,导出蓝屏dmp文件windbg分析,发现Ipnat.sys引起,因为还有其他事情要忙,当时没太在意。今天一看竟然成了肉鸡,疯狂想德国法国的一些80、442、25端口发送包,抓包分析,基本都是病毒体传播和点广告的
病毒本身一共5个文件 srosa.sys hldrrr.exe wintems.exe mdelk.exe 还有一个是放在了Du Meter的自启动下面
冰刃等一些都是“不是有效的win32程序”,杀毒软件更别说了。驱动隐藏驱动、程序、注册表,病毒体、驱动、注册表防删除保护,文件文件夹隐藏设置失效。。。。,因为是远程杀毒,安全模式啥的都不用考虑了。突然看到服务器桌面上装了WinHex,当时爆破一个小软件的时候用的,顺手打开硬盘,找到隐藏的病毒,直接对相应硬盘区域写0,重启。
残留文件删除,注册表清除一下,干净了 WinHex确实强啊。
直接写硬盘,可以当铸比较BT的强删工具啊 顺手打开硬盘,找到隐藏的病毒,直接对相应硬盘区域写0,重启。
残留文件删除,注册表清除一下,干净了
LZ能否详细点,头一次见怎么牛比的文章! 呵呵 我经常用winhex查杀病毒,打开winhex选择硬盘-》相应分区-》选择相应的病毒文件(完全可以查看所有隐藏的病毒文件)-》可以利用字符串大概了解病毒文件的功能是否加壳等-》把病毒的16进制文件区域填充00保存退出。
这样有个好处就是,很多病毒会检测相应文件是否被删除,而不会检测文件是否被修改,其功能是否还完整(个别病毒例外哈曾经遇到过),达到了各个击破病毒的效果。 呃,糊里糊涂进来了,认为题目叫远程用WinHex查杀顽固病毒恰当些 winhex还可以这样用.受教了...... 终于看懂了......
开始以为用它来删文件的:sweat:
感谢楼主提供这个技巧:victory: WinHex可以查看/编辑使用RootKit技术隐藏的文件吗? 可以编辑任何技术隐藏的文件。病毒都是对文件的内存区域进行保护,没有对硬盘文件完整性进行不断检测的。
回复 楼主 Helvin 的帖子
"srosa.sys hldrrr.exe wintems.exe mdelk.exe"这几个文件是否没有运行或被占用,我试过,正在运行或占用的文件可以被编辑,但是无法保存。还是我的方法不对,应该就是直接编辑,填充0吧?否则,直接删除也可以的。 写0是不错的方法,以前对付病毒最常用的方法是用记事本打开,删掉一部分文字,然后他就不能正常运行了,这貌似也是个方法...实在不行可以用替换命令. 冰刃打不开,可以改名试试!不过 WINHEX还有这功能还是第一次听说!
呵呵,学习了! 其实用它杀毒就是麻烦了
不过思路真的不错
可以推广到其他的进制编辑工具 直接写硬盘,能过驱动还原不?
貌似现在很多还原更BT
值得测试一下 被感染了的文件呢??
这样的方法感觉不是很有效。 这跟记事本打开编辑有什么区别》?
用别的编辑工具效果是不是也差不多? 恩!
思路是不错。。
直接对相应硬盘区域写0。
WinHEX还有这个功能。。
谢谢指点,回头好好研究研究。。 真是不错,支持了.:lol: :lol:
页:
[1]