史萊姆論壇

返回   史萊姆論壇 > 專業主討論區 > 軟體中文化討論區
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


發文 回覆
 
主題工具 顯示模式
舊 2007-10-19, 01:12 PM   #1
yoyo007
中文化 作者
榮譽勳章
UID - 261912
在線等級: 級別:8 | 在線時長:105小時 | 升級還需:12小時級別:8 | 在線時長:105小時 | 升級還需:12小時級別:8 | 在線時長:105小時 | 升級還需:12小時
註冊日期: 2007-02-07
文章: 438
精華: 0
現金: 10684 金幣
資產: 16404 金幣
Arrow 分享 - Rootkit Unhooker 3.7.300.509

■ 軟體說明:

∥軟體名稱:Rootkit Unhooker
∥版本資訊:3.7.300.509
∥檔案大小:137 KB (140,530 位元組)
∥軟體分類:軟體本地化
∥存放空間:HTTP
∥官方站台:http://rku.nm.ru/
∥中 文 化:YoYo

http://i132.photobucket.com/albums/q10/yoyo172/RkU509.gif

■ 軟體簡介:

Rootkit Unhooker 是一款來自俄羅斯的進階 Rootkit 偵測工具,其功能十分強大,包含了 SSDT 掛鉤的偵測與還原,以及隱藏處理序、驅動和檔案的檢查和操作 ...等;主程式僅 93.5 KB,可以在安全模式下使用。要進入安全模式請按 [設定 → 設定 →] 勾選 [使用 [擴充模式] (需要重新開機) ] 即可;此外 Rootkit Unhooker 還可以自訂文字及背景色彩。

中文化說明:

1. 中文化模組取自官方的俄羅斯語言模組 (RkU 3.7.300.506+) 翻譯而成。
2. 切換繁體中文請開啟程式後按 [Language] → [Traditional Chinese]。
3. #1 整理了一個例子。

軟體特色:

‧SSDT 掛鉤的偵測和還原。
‧SSDT 陰影掛鉤的偵測和還原。
‧隱藏處理序的偵測、中止和傾印。
‧隱藏驅動的偵測和傾印。
‧隱藏檔案的偵測、複製和移除。
‧掛鉤代碼的偵測和還原。
‧報告產生功能。

注意:使用 RkU 需要管理員權限。

引用:
‧SSDT Hooks Detection and Restoring
‧Shadow SSDT Hooks Detection and Restoring
‧Hidden Processes Detection/Terminating/Dumping
‧Hidden Drivers Detection and Dumping
‧Hidden Files Detection/Copying/Deleting
‧Code hooks Detection and Restoring
‧Report generation
支援的作業系統:

x86 32 bit Windows 2000 SP4
x86 32 bit Windows XP +SP1, SP2
x86 32 bit Windows 2003 +SP1, SP2
x86 32 bit Windows Vista

檔案下載:http://0rz.tw/1b3cL

MD5:
語法:
987CAE79047F04CA36B0830A7CBC6297
解壓碼:
語法:
CENTURYS 網際論壇 中文化開發團隊
yoyo007 目前離線  
送花文章: 318, 收花文章: 331 篇, 收花: 1201 次
回覆時引用此帖
有 5 位會員向 yoyo007 送花:
gzi837 (2007-11-19),Heaven (2007-10-27),jermin90 (2007-10-19),pinga (2007-10-21),tmsyy (2008-02-22)
感謝您發表一篇好文章
舊 2007-10-19, 01:14 PM   #2 (permalink)
中文化 作者
榮譽勳章
UID - 261912
在線等級: 級別:8 | 在線時長:105小時 | 升級還需:12小時級別:8 | 在線時長:105小時 | 升級還需:12小時級別:8 | 在線時長:105小時 | 升級還需:12小時
註冊日期: 2007-02-07
文章: 438
精華: 0
現金: 10684 金幣
資產: 16404 金幣
預設

文章轉自:偉大的網際網路...
編輯整理:
http://www.centurys.net/index.php

手動清除 Ntdll32.dll 木馬病毒 W32.Fujacks!html


一、病毒類型:W32.Fujacks!html Win32.troj.agent.s.412671

二、載入方式:利用驅動,凌駕於所有應用程式之上。(包括 COM)

Windows\system32\Ntdll32.dll 感染了 [Win32.troj.agent.s.412671] 病毒,卻無法刪除;就算在安全模式中進入登錄檔想刪除相關機碼也不行。

該木馬病毒執行後,會向系統加入一個名為 Internet Connection Manager (管理 Internet 網路連線) 的自啟動系統服務 (用於實現遠端監控),來源檔為 Windows\system32\internet.exe,並對 IE 瀏覽器裝上一個名為 [IEHELPER.DLL] 的外掛,以上就是這個程式的最終目的。

到此為止,這都只是個很普通的木馬程式做的事情,剩下的就是它為了保證這兩項能在系統中常駐所花的心思了,而它厲害的地方也在於此。

程式執行時,會在 Windows\system32\driver 資料夾下加入一個名為 [mspcidrv.sys] 的系統驅動,並在 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下寫入一個 NTDLL32.DLL 機碼 (注意,這個大有用處);同時也向 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 寫入了該機碼 (啟動瀏覽器時自動啟動 NTDLL32.DLL);向 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 加入了兩處啟動項,分別都指向 Windows\system32.internet.exe。

驅動 [mspcidrv.sys] 載入後會改寫三個系統服務描述表,分別為 NtDeleteKey、NtDeleteValueKey、NtSetValueKey,並 HOOK,使得針對那兩個最終目的的登錄機碼的 [刪除登錄機碼]、[刪除登錄值]、[變更登錄值] 這三個功能失去作用,這是為了保護 Internet Connection Manager 系統服務和 IEHELPER.DLL 外掛的登錄機碼不被清除。

而 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下的這個 NTDLL32.DLL 機碼,就是實現記憶體恢復的關鍵。實際上這是一個插入系統處理序的 DLL 檔案,在程式啟動時,它就作為一個系統緒程插入 explorer 處理序中,並對登錄機碼進行監視,它分別檢測上述兩個最終目的的兩處機碼,發現它們被刪除就立即重寫,這一招的作用是:

在驅動還在的情況下,如果登錄機碼被刪除 (透過某些工具軟體如:Rootkit Unhooker),就立刻重寫;保證兩個最終功能的完整,是因為這個緒程自己本身也是要靠驅動保護的,所以在驅動失效,而它自己的登錄機碼又已被清除的情況下,它也只能維持在驅動被清除之前的那一次處理序插入,以在保證下次開機時,兩個最終目的的啟動項完整。

三、清除方法:

第一種方法:用 Rootkit Unhooker 清除。

1. 進入 Windows 工作管理員 (同時按 Ctrl+Alt+Del),到 [處理程序] 分頁中
  找到並結束 [explorer] 處理序;
  切換到 [應用程式] 分頁按右鍵 → [新工作 (執行...) ] 選取並執行您安裝
  的 Rootkit Unhooker 程式。

註:綠化版直接執行 [RKUnhooker.exe] 即可。

2. 切換到 Rootkit Unhooker 程式介面的分頁 [SSDT] 按 [掛鉤] 排序
  找 [模組] 欄位中的值:mspcidrv.sys ← 在所有包含此值的行上按
  右鍵 → [解開選定的掛鉤]。

3. 切換到 [處理序] 分頁找 [處理序名稱] 欄位內所有有關:
  internet.exe 、mspcidrv.sys、Ntdll32.dll 和 IEHELPER.DLL
  按右鍵 → [中止處理序]。

註:蒐集的教程採用的是 RkU 舊版,我重新編輯對應到此 RkU 新版;
  新舊版本在介面上的顯示略有差異,請視程式介面自行切換分頁並
  找出上述提到的相關檔案。


4. 開啟登錄編輯程式刪除登錄的服務 (執行 → regedit.exe)
  在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到
  有關 internet.exe 和 mspcidrv.sys 的兩個服務並將之刪除;
  然後到 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
  將 Appinit_Dlls 裡的值去掉,並在登錄機碼中搜尋所有有關:
  internet.exe 、mspcidrv.sys、Ntdll32.dll、IEHELPER.DLL 的值
 ↑將他們刪除。

5. 主要有以下病毒檔案:

  %systemroot%\system32\NTDLL32.DLL
  %systemroot%\system32\IEhelper.dll
  %systemroot%\system32\IEShell32.dll
  %systemroot%\system32\internet.exe
  %systemroot%\system32\drivers\mspcidrv.sys

  但這時因為還有其它檔案在呼叫這幾個檔案,您可能在正常模式下刪除不掉,
  可以開啟工作管理員按 [關機] 選擇 [重新開機] 後,進入安全模式中刪除。

6. OK,整個世界清淨多了。

第二種方法:在控制台下也可以停用驅動和服務。

1. 先安裝控制台:開始 → 執行 → [X:\i386\winnt32.exe /cmdcons]
  X: 為您的 I386 所在路徑,依照提示安裝就行了,重開機後可看見多重系統
  開機選單下多了一個 Microsoft Windows XP Recovery Console 控制台。
  進入控制台,輸入數字選定您要進入的系統,輸入管理員密碼登入。

2. 進入控制台,輸入 Listsvc 指令後按 Enter,在螢幕上會出現目前系統中
  已有的所有服務和驅動程式,以及其狀態說明。找到要停用的可疑服務或驅動
  程式,輸入指令 disable 要停用的程式或服務,按 Enter 後螢幕上會顯示出
  該服務以前的狀態和完成後的狀態;
  如果想僱用某個程式或服務,則需輸入Enable 要停用的程式或服務,
  按 Enter 後即可。控制台說明指令:help 可查閱所有可使用的指令。
yoyo007 目前離線  
送花文章: 318, 收花文章: 331 篇, 收花: 1201 次
回覆時引用此帖
向 yoyo007 送花的會員:
mini (2007-10-19)
感謝您發表一篇好文章
發文 回覆


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用

相似的主題
主題 主題作者 討論區 回覆 最後發表
系統 - 高手教你清除Rootkit之完全篇 psac Hacker/Cracker 及加解密技術文件 0 2006-06-26 06:06 AM
AVI 壓制 RMVB 加ssa字幕水印 psac 多媒體影音轉檔燒錄技術文件 1 2006-02-13 01:06 AM
驅 動 級 隱 藏 木 馬 ( Rootkit ) - PcShare 查 殺 手 記 psac 資訊系統安全備援防護技術文件 1 2006-01-26 10:10 PM


所有時間均為台北時間。現在的時間是 01:03 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1