解析rootkit远控的生存能力 (开启root远程访问权限)
整理分享解析rootkit远控的生存能力 (开启root远程访问权限),希望有所帮助,仅作参考,欢迎阅读内容。
内容相关其他词:远程root软件,远程root有风险吗,开启root远程访问权限,远程root有风险吗,root远程控制,开启root远程访问权限,开启root远程访问权限,root远程控制,内容如对您有帮助,希望把内容链接给更多的朋友!
接下来我们运用禹盾HIPS进行测验。双击运行木马,禹盾弹出一些有关进程的提示,我们都点击允许。接下来到了最关键的地方,禹盾弹出一条提示,询问是否允许加载驱动sfcp.sys,不过动作宿主已经变成了services.exe。可见木*精明,利用*进程来加载自己的驱动。我们点击禁止加载此驱动。木马依然正常上线。打开xuetr查看,驱动没有被加载,函数也没有被挂钩。重新启动后,木马依然上线。打开xuetr,发现这次sfcp.sys已经躺在那里了,NtDeviceIoControlFile也被hook了。看来木马很顽强,利用意志战胜了禹盾。 检验一个木*生存能力最好的方式就是查杀。我首先解除了木马对NtDeviceIoControlFile的hook,然后删除了sfcp.sys(文件和注册表),接着卸载了木马寄生在explorer.exe里的Sysldt.dll模块。重新启动电脑后,木马还很顽强,又上线了。我打开xuetr一看,驱动是没有恢复,但是Sysldt.dll模块却恢复了。查看端口,发现木马正利用svchost.exe通信。查看所有svchost.exe进程,均没有发现可疑模块。这次我先删除Sysldt.dll模块文件,再卸载模块,最后重新启动电脑,木马终于被清除干净了。 由此可见,这个木*确是一个不一般的木马。由于我用的是pojie版,所以不需要注册就可以享受所有功能。在此把这个好马提供给大家。标签: 开启root远程访问权限
本文链接地址:https://www.iopcc.com/jiadian/39146.html转载请保留说明!