🤖rebirthatsix@rebirthatsix

“再说，现在好点的马，或者新写的，哪还有以进程形式加载的，已经被摒弃的方法了 现在凡是能明显看出来的马，都不知道是某个人的原代改了多少个版本衍生出来的，真是自己要写，不可能去写以进程方式加载的，这样就会给rootkit或者其等效功能的设计带来很大困难，除非什么时候虚拟机hack真的能够完美无缺实现了，那时候随便你怎么加载”

“【 在 zwz 的大作中提到: 】 : 想问问能否把dll挂在某个任意指定的svchost上而不产生独立的进程。 理论上绝b可以实现。。。而且确实也已经有实现的样例。。。 具体可能是这个进程被hide,或者被加载到了正常的系统进程之中 安焦上最新的有几个带有部分木马功能的rootkit中有一个可以实现，记得是加载到wi…”

“恩，昨天刚发现一个svchost - HTTPfilter 在服务列表里根本找不到 要分析trojan，不分析代码好像才有些奇怪吧，通过一个标准svchost加载modify过的文件方法现在太多了，一个好的马想去过IS，是不会在windows service里把自己列出来的 在了解其如何加载之后，不去了解其内部是怎么运…”

“进程或者服务没被kill,杀多少次文件都是一样 尤其这种会被装入dllcache的dll”

“关了进程删”

“【 在 flyingkisser 的大作中提到: 】 : 你的工作环境及工作性质决定你能接触到的病毒或木马的危害或隐蔽程度。 : 最近一朋友发现了可过IS1.8的东东，过几天发上来，大家一起搞搞。 顶，这个一定要拿出来”

“【 在 zwz 的大作中提到: 】 : 4. 如果是高手（高手也就是肚脐眼长毛装逼的那些人）可以直接编写reg文件导入来修复。不过我们没必要这么麻烦，直接用hijackthis来修复就可以了。然后再用Upiea把被劫持的IE给修复回来。重新启动，OK一切正常了。 : : ----------不是麻不麻烦的问题，注册表被…”

“【 在 zwz 的大作中提到: 】 : ws报这种数据执行保护。 : 我就看到这一行了。。。。。。 : =。= 你个Z”