|
无意间发现了一款自称是rootkit的远控,就试了一下感觉非常不错。有关木马的配置及运用我就不多说了,既然是rootkit,那我们就来看看它的生存能力如何。 首先生成一个服务端,生成后双击运行,360安全卫士没有任何反应。然后我们看到木马上线了。打开Xuetr,这时360提示程序试图加载驱动Xuetr.sys,我们点击允许。通过Xuetr,我们发现系统中多了一个驱动sfcp.sys,且这个sfcp.sys还挂钩了SSDT中的NtDeviceIoControIFile函数(我对内核函数了解不多,不知道hook这个函数有什么作用,从名字上看像是一个与文件有关的函数,还请高手帮忙解释下)。这足以证明木马成功突破了360安全卫士驱动防御。
检验一个木马的生存能力最好的方式就是查杀。我首先解除了木马对NtDeviceIoControlFile的hook,然后删除了sfcp.sys(文件和注册表),接着卸载了木马寄生在explorer.exe里的Sysldt.dll模块。重新启动电脑后,木马还很顽强,又上线了。我打开xuetr一看,驱动是没有恢复,但是Sysldt.dll模块却恢复了。查看端口,发现木马正利用svchost.exe通信。查看所有svchost.exe进程,均没有发现可疑模块。这次我先删除Sysldt.dll模块文件,再卸载模块,最后重新启动电脑,木马终于被清除干净了。 由此可见,这个木马的确是一个不一般的木马。由于我用的是pojie版,所以不需要注册就可以享受所有功能。在此把这个好马提供给大家。 |
