返回信息流以前感觉3721只想让你用它的搜索或中文域名,在
program files目录下搞个3721招摇一下,大不了在
ring3下hook几个函数搞搞你的IE,现在看来雇了几个
搞内核的,在内核里搞名堂了。
今天我一开IE,就自动打开www.chinapc.com,看来3721
开始给其它公司赚流量了,在IE里的设置里把启动页
改成空白,很快又被改回来,于是用regmon监控,没有
得到什么有价值的信息,autorun也搬出来,没有找到
什么启动项,最后搬出icesword,看SSDT时,果然发现
有注册表操作相关的和其它某几个系统调用被hook了,
对应的驱动程序是cnsmiXXX.sys,重启,进dos,删文件
,再重启,进入系统后删除此驱动对应的注册表项,
就正常了。
比较失败的是我一直没有找到他的启动项,也许删了,也许
被hook了,这个倒不特别重要,我在想的是,如果它换一种
方式hookSSDT,让icesword发现不了(这个我已经有了代码可实现
的思路),那我们以后怎么去对付这种东西啊,除了用内核调试器
下断跟踪,似乎很难直接检测出来,那时候真是办法不多了,
当然,除了建立系统hash数据库进行对比,但这个毕竟也比较麻烦
和费事。
这是一条镜像帖。来源:北邮人论坛 / security / #2920同步于 2006/8/4
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
3721越来越没有人性了
flyingkisser
2006/8/4镜像同步4 回复
订阅后,新回复会通过你的通知中心匿名送达。
4 条回复
刚才我看新浪新闻.3721的创始人现在和卡巴什么的合作搜杀流氓软件的活动.免费推出了一个360安全卫士的东东.专门灭3721的.
【 在 flyingkisser (齐天大猫) 的大作中提到: 】
: 以前感觉3721只想让你用它的搜索或中文域名,在
: program files目录下搞个3721招摇一下,大不了在
: ring3下hook几个函数搞搞你的IE,现在看来雇了几个
: ...................
360safe
【 在 littleboy (北邮首席宠物...) 的大作中提到: 】
: 刚才我看新浪新闻.3721的创始人现在和卡巴什么的合作搜杀流氓软件的活动.免费推出了一个360安全卫士的东东.专门灭3721的.
【 在 littleboy 的大作中提到: 】
: 刚才我看新浪新闻.3721的创始人现在和卡巴什么的合作搜杀流氓软件的活动.免费推出了一个360安全卫士的东东.专门灭3721的.
流氓头子从良了?