终於搞定了0rz 这rootkit有够难缠的... 大概说明一下 那个假CNN 会产生一些档案，但主要的档案是 WINDOWS\system32\CbEvtSvc.exe windows\System32\drivers\33acc6a7.sys 然後一个挂载服务 CbEvtSvc 一个挂载驱动 33acc6a7 难缠的在驱动 33acc6a7 这个上面 由於他存取了SSDT，所以部分有主动防御型的防毒会挂点 并且利用一些技术将 33acc6a7 这个 挂载的驱动隐藏起来，一般登录编辑器可以看到 整段机码，但完全看不到里面的值。 然而使用icesword 可以删除，只不过马上再生而已 同样该档案用icesword删除後马上再生。 使用catchme破坏该档案後马上修复自身0rz 基本上光靠Icesword删除已经不够力，必须要靠其他方式处理 这边是使用Rename operations pending 的方式成功将档案删除掉 (要两个档一起) 删掉之後使用icesword将被存取的SSDT还原 并将挂载的驱动登录值删除之後才解除状况0rz 一般要碰到的话可能直接重灌会比较快。 远端处理...我说实在的，我自己实际处理都弄很久了何况是远端0rz ------------------------------------------------------ 不然就用WinPE那一类的开机光碟删吧，他还没有隐藏档案自身所以还是删的掉 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 210.68.130.155 ※ 编辑: junorn 来自: 210.68.130.155 (08/11 14:06)