论坛 › 综合交流区 › 巧用"记事本"让病毒无效运行

波萨诺瓦 发表于 2013-6-10 23:35:04

人却濒临崩溃

紫锋 发表于 2013-6-11 00:16:30

看看隐藏的内容是什么？？

2012300819 发表于 2013-6-11 01:20:20

厉害哈{:5_102:}

芳草有约 发表于 2013-6-11 01:21:15

感谢楼主无私奉献！

阿里喵喵 发表于 2013-6-11 01:46:16

回复好累啊

ghort_rider 发表于 2013-6-11 02:08:17

看一看，学习学习

hj杯草世界 发表于 2013-6-11 07:14:37

好额 我来看看这个

东风异客 发表于 2013-6-11 08:11:32

瞧瞧是怎样做到的。。。。。。。。。。。。

506076894 发表于 2013-6-11 09:00:33

我就看看不说话

wocaoni 发表于 2013-6-11 09:03:05

受教了，先看看。

zmr 发表于 2013-6-11 09:04:16

{:5_110:}{:5_109:}很棒啊

小布袋 发表于 2013-6-11 09:04:40

来看看楼主的方法

506076894 发表于 2013-6-11 09:22:41

早在08年，黑基网就发表这种做法了。
这中方法也是可取的，但是过于麻烦，因为你不知道哪个是病毒，难道每个可疑的可执行文件都要这样做吗？有些病毒和木马是以dll寄生的。
要是手动查杀病毒，我不会用这种方法。
帖子里所说的：关闭另外一个时，刚才关闭的那个马上又运行了。这种就是就进程守护技术，一般通过冰刃创建进程规则就可以阻止进程再生了，然后找到注册表中的启动项，大概有六个地方需要排查，本地和当前都要仔细排查，还有winlogon键值下，load键值，还有的病毒运用了镜像劫持技术，如果劫持了记事本，也是无法正常打开的，还有的使用了进程注入等很多技术，这里不 一一列举。
终极的做法就是数字签名验证，很快的就能查出可疑程序。

独自面对℡ 发表于 2013-6-11 09:25:54

看下什么方法。

xyz 发表于 2013-6-11 09:33:11

学习一下

wudi007 发表于 2013-6-11 09:36:21

有什么好方法.......................

扇子 发表于 2013-6-11 09:45:03

学习下，有什么好方法

小牛.. 发表于 2013-6-11 09:53:23

怎么做到的呢？

zszs321321 发表于 2013-6-11 09:54:32

好好看下！！！！

lantian 发表于 2013-6-11 09:57:20

谢谢分享，学习

查看完整版本: 巧用"记事本"让病毒无效运行