網際論壇 - 軟體中文化交流區 - [系統安全] Rootkit Unhooker 3.7.300.509
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

<<  [1] [2]  >>
作者:
標題: [系統安全] Rootkit Unhooker 3.7.300.509 上一主題 | 下一主題
  vvedc
  一般會員 
 



  積分 394
  發文 113
  註冊 2006-10-19
  來自 h.k
  狀態 離線
#21  

相信這是很有用的防衛軟件,要慢慢研究它的用法,多謝。

2008-7-16 08:58 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  flyblue
  進階會員 
 


 
  積分 2678
  發文 213
  註冊 2006-10-26
  來自 台灣高雄
  狀態 離線
#22  

多種的防護措施多做
多重的保護嚕
感謝YoYo兄分享^^




2008-7-16 07:21 PM
查看資料  訪問主頁  發短消息   編輯文章  引用回覆
  wellsss
  資深會員 
 


  積分 4338
  發文 709
  註冊 2006-5-5
  狀態 離線
#23  

好武器~ 搭配 『冰劍』 協助 "開竅" 。俄羅斯語個人看到大概會馬上投降吧
真有耐心,這  Rootkit Unhooker 3.7.300.509 看起來雖小,但功能不能小看。
雖然沒有用它來除毒的經驗,下來試試。
已列為收藏備用,給劍氣開鋒的寶物之一!!


2008-7-18 01:19 PM
查看資料  發短消息   編輯文章  引用回覆
  wellsss
  資深會員 
 


  積分 4338
  發文 709
  註冊 2006-5-5
  狀態 離線
#24  

報告YOYO大,近日無事連到官方網站 http://rku.nm.ru/ 看看
發現一行字串:

Access to the data has been denied!
Requested URL:          http://rku.nm.ru/
Information:         Contains recognition pattern of the JS/Iframe.F Java script virus

(汗...)

此外個人經過手下的某家防間諜掃出該軟體,於點選"檔案" → "掃描" 選硬碟後
Rootkit Unhooker 3.7 會自行於system32 建立三個"隨機命名的7-8位數檔案"
而這三個檔名個人實測數字,每次隨機產生的xxxxxxxx.exe檔案都不同。
而這三個隨機檔名檔案都被 Spyware Terminator判定為疑似木馬。

這三組檔案還會自動掛載『服務』驅動執行...(個人用Wsyscheck檢查得知)
由於相關的檔案有問題項目已被個人移除,yoyo大不介意的話我就抽空
再重新執行那動作產生可疑的問題檔,並傳圖片作證。

這裡個人先把上傳掃描結果傳給您看,我是覺得Rootkit Unhooker官方意圖不明。
可以的話,最好暫時選擇別用... 連官方網站都被封鎖了。
http://www.virustotal.com/zh-tw/ ... 7a2c88232f770a17931

檔案 RKUnhooker.EXE 接收於 2008.07.19 09:40:29 (CET)
當前狀態:
結果: 7/33 (21.22%)

CAT-QuickHeal        9.50        2008.07.18        (Suspicious) - DNAScan
eSafe         7.0.17.0         2008.07.17         Suspicious File
Ikarus         T3.1.1.34.0         2008.07.19         Trojan-Spy.Win32.Bancos.MI
Panda         9.0.0.4         2008.07.18         Suspicious file
Prevx1         V2         2008.07.19         Suspicious
TrendMicro         8.700.0.1004         2008.07.18         PAK_Generic.001
VBA32         3.12.8.1         2008.07.18         suspected of Embedded.Trojan-Spy.Win32.Agent

補充:http://www.antirootkit.com/software/RootKit-Unhooker.htm 英文版載點
得知結果亦是相同。

補充:個人從某論壇看到Rootkit Unhooker原作者 EP_X0FF的簡介,看來他老兄
網站 '被查封' 是因為惹火了某群人?:
*  Jun 26 Thu 2008 19:55
*卡巴斯基的後門

9月12日下午,Rootkit技術研究網站 http://www.rootkit.com/上發表了俄羅斯駭客EP_X0FF的一篇文章:
<<Haxdoors of the Kaspersky Antivirus 6/7>>
(卡巴斯基反病毒軟體6/7中的駭客後門)

EP_X0FF是著名的俄羅斯駭客,曾開發過Rootkit Unhooker,Process walker等國際領先的反ROOTKIT軟體,並擔任微軟SysInternals技術論壇的Malware(惡意軟體)版版主.

該文章中指出,卡巴斯基6.0-7.0中存在多個明顯的可以引發駭客攻擊的BUG,包括對SSDT掛鉤不正確的處理,和開放了一個由Ring3(用戶層)通向Ring0(核心層)
的CallGate(調用門),及其自身的“自我保護”功能相當脆弱等...

ps:感謝 yoyo大的中文化分享跟木馬教學!

[ Last edited by wellsss on 2008-7-20 at 08:57 AM ]


2008-7-20 02:19 AM
查看資料  發短消息   編輯文章  引用回覆
  yoyo007
  論壇貴賓 
  菸草撐住的日子


 
  積分 38778
  發文 6170
  註冊 2005-9-10
  來自 滅絕希望的世界
  狀態 離線
#25  



  Quote:
Originally posted by wellsss at 2008-7-20 02:19:

此外個人經過手下的某家防間諜掃出該軟體,於點選"檔案" → "掃描" 選硬碟後
Rootkit Unhooker 3.7 會自行於system32 建立三個"隨機命名的7-8位數檔案"
而這三個檔名個人實測數字,每次隨機產生的xxxxxxxx.exe檔案都不同。
而這三個隨機檔名檔案都被 Spyware Terminator判定為疑似木馬。

這三組檔案還會自動掛載『服務』驅動執行...(個人用Wsyscheck檢查得知)
由於相關的檔案有問題項目已被個人移除,yoyo大不介意的話我就抽空
再重新執行那動作產生可疑的問題檔,並傳圖片作證。

RkU 有問題這一點我倒是不擔心,因為使用者蠻多的,逆向也大有人在,如果有問題,不至於沉默至今,網路應會有沸沸揚揚的討論。比較好奇的反而是您說的那三個隨機數 EXE,我是沒看到 RkU 有建立這些東東啦,可否請教下您測試的所有具體步驟?謝謝。




我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸…
2008-7-21 03:20 AM
查看資料  訪問主頁  發短消息   編輯文章  引用回覆
<<  [1] [2]  >>

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: