网站首页 > 网管员之家 > 当前主题    站内搜索    首页  上一页  下一页  尾页  页次1/1         新用户申请  老用户登录  返回首页
作者信息   主题: 怎么查杀ntsd.exe病毒?(映像劫持)6008

白瑞德


发表主题: 2962
发表回复: 4621
网站暂行积分: 13507


【人类幸存者】



  发表时间: 2009-1-16 10:09:06             

特别提示:本帖子在 2009-1-16 10:19:45 由用户 白瑞德 编辑过

ntsd.exe - ntsd - 进程信息,这是什么进程?是不是病毒? 进程文件: ntsd.exe 什么是进程?
浪漫烛光 www.langmanzg.com

 进程名称: Symbolic Debugger for Windows
浪漫烛光 www.langmanzg.com

 英文描述: ntsd.exe is a process belonging to the Microsoft symbolic debugger that enables you to debug user-mode applications. This program is a non-essential process, but should not be terminated unless suspected to be causing problems.
浪漫烛光 www.langmanzg.com

 进程分析: Windows2000开始而随系统自带的用户态调试工具。通常情况下可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程。
浪漫烛光 www.langmanzg.com

 =======================
浪漫烛光 www.langmanzg.com

 在使用专杀杀毒后我们还需要作一些后续的恢复系统的工作
浪漫烛光 www.langmanzg.com

 一般恢复系统工作步骤如下
浪漫烛光 www.langmanzg.com

 1.恢复IFEO 映像劫持di %zyZ8{
浪漫烛光 www.langmanzg.com

 可以使用autoruns这个软件 http://www.skycn.com/soft/17567.html
浪漫烛光 www.langmanzg.com

 由于这个软件也被映像劫持了 所以我们要把他改个名字
浪漫烛光 www.langmanzg.com

 打开这个软件后 找到Image hijack (映像劫持)
浪漫烛光 www.langmanzg.com

 删除除了Your Image File Name Here without a path  Symbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe 以外的所有项目
浪漫烛光 www.langmanzg.com

 也可以使用空指针的IFEO映像劫持修复工具
浪漫烛光 www.langmanzg.com

 http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe
浪漫烛光 www.langmanzg.com

 2.恢复显示隐藏文件
浪漫烛光 www.langmanzg.com

 把下面的 代码拷入记事本中然后另存为1.reg文件
浪漫烛光 www.langmanzg.com

 Windows Registry Editor Version 5.00
浪漫烛光 www.langmanzg.com

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
浪漫烛光 www.langmanzg.com

 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
浪漫烛光 www.langmanzg.com

 "Text"="@shell32.dll,-30500"
浪漫烛光 www.langmanzg.com

 "Type"="radio"
浪漫烛光 www.langmanzg.com

 "CheckedValue"=dword:00000001
浪漫烛光 www.langmanzg.com

 "ValueName"="Hidden"
浪漫烛光 www.langmanzg.com

 "DefaultValue"=dword:00000002
浪漫烛光 www.langmanzg.com

 "HKeyRoot"=dword:80000001
浪漫烛光 www.langmanzg.com

 "HelpID"="shell.hlp#51105"
浪漫烛光 www.langmanzg.com

 双击1.reg把这个注册表项导入
浪漫烛光 www.langmanzg.com

 3.恢复安全模式
浪漫烛光 www.langmanzg.com

 下载sreng
浪漫烛光 www.langmanzg.com

 http://www.kztechs.com/sreng/download.html
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 映像劫持
浪漫烛光 www.langmanzg.com

 windows映像劫持技术(IFEO)
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。Y|OyWa!}nL
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 既然我们是介绍IFEO技术相关,那我们就先介绍下:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 一,什么是映像胁持(IFEO)?
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 所谓的IFEO就是Image File Execution Options
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 在是位于注册表的
浪漫烛光 www.langmanzg.com

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 先看看常规病毒等怎么修改注册表吧。。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
浪漫烛光 www.langmanzg.com

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
浪漫烛光 www.langmanzg.com

 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
浪漫烛光 www.langmanzg.com

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
浪漫烛光 www.langmanzg.com

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
浪漫烛光 www.langmanzg.com

 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
浪漫烛光 www.langmanzg.com

 等等。。。。。。。。。。。。。。。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 二,具体使用资料:
浪漫烛光 www.langmanzg.com

 QUOTE:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 下面是蓝色寒冰的一段介绍:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 @echo off //关闭命令回显
浪漫烛光 www.langmanzg.com

 echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字
浪漫烛光 www.langmanzg.com

 pause //停止
浪漫烛光 www.langmanzg.com

 echo Windows Registry Editor Version 5.00>>ssm.reg
浪漫烛光 www.langmanzg.com

 echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
浪漫烛光 www.langmanzg.com

 echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中
浪漫烛光 www.langmanzg.com

 regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe
浪漫烛光 www.langmanzg.com

 QUOTE:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 如上图了,开始-运行-regedit,展开到:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger"
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。。
浪漫烛光 www.langmanzg.com

 把它改为 C:\windows\system32\CMD.exe
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 (PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。。。)
浪漫烛光 www.langmanzg.com

 好了,实验下。~ .
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。。。
浪漫烛光 www.langmanzg.com

 然后运行之。。。嘿嘿。。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 一次简单的恶作剧就成咧。。。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损SowQTkw@fFugM坏的程序一样运行不了!
浪漫烛光 www.langmanzg.com

 三,映像胁持的基本原理:
浪漫烛光 www.langmanzg.com

 QUOTE:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 当然,把这些键删除后,程序就可以运行!
浪漫烛光 www.langmanzg.com

 四,映像胁持的具体案例:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 引用JM的jzb770325001版主的一个分析案例:
浪漫烛光 www.langmanzg.com

 QUOTE:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 蔚为壮观的IFEO,稍微有些名气的都挂了:
浪漫烛光 www.langmanzg.com

 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
浪漫烛光 www.langmanzg.com

 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
浪漫烛光 www.langmanzg.com

 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
浪漫烛光 www.langmanzg.com

 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 从这个案例,我们可以看到这个技术的强大之处!很多的杀软进程和一些辅助杀软或工具,全部被胁持,导致你遇到的所有杀软都无法运行!
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 试想如果更多病毒,利用于此,将是多么可怕的事情!
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 五:如何解决并预防IFEO?
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 方法一: 限制法(转自网络搜索)
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 它要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 然后还是展开到: )
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 方法二:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com

 把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项删除即可
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com



  每当你几乎快被困难击倒,丧失斗志的时候,你就想想背后还有无数等你倒下捅刀子的SB,就充满了力量。
新用户注册   返回首页
首页  上一页  下一页  尾页  页次1/1   转到第