MSHService
شنبه 10 اسفند 1387, 07:21 صبح
سلام.
عذر مي خوام که تاپيک جديد زدم آخه مطلب در این مورد خاص ندیدم.
نگارش جديد کرم باگل فايل خودش رو با نام hldrrr.exe در مسير Sys32/Driver و درايور خوش بانام Srosa.sys در همين مسير قرار ميده . بعد از اجرا ديگه نه اثري از فايله هست نه درايور و نه کليدش تو رجيستري!!!
نرم افزار RootKit unhooker (تنها نرم افزاري که تونست پروسز رو بکشه) وضعيت (status) اين فايل اجرايي رو Hidden From Windows API ميگه و در رابطه با درايوره
>Hooks
tkrnlpa.exe-->NtOpenProcess, Type: Inline - RelativeJump at address 0x805CB428 hook handler located in [srosa.sys]
ntkrnlpa.exe-->NtQuerySystemInformation, Type: Inline - RelativeJump at address 0x806110B8 hook handler located in [srosa.sys]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
در ضمن با تمام سورس هايي که در زمينه ليست کردن پروسز ها بودن تست کردم نجوابيدم.
لطفا راهنمايي کنيد چطور ميتونم اين پروسز رو با برنامه دلفي ببینم و از تو حافظه خارج کنم.
با تشکر.
عذر مي خوام که تاپيک جديد زدم آخه مطلب در این مورد خاص ندیدم.
نگارش جديد کرم باگل فايل خودش رو با نام hldrrr.exe در مسير Sys32/Driver و درايور خوش بانام Srosa.sys در همين مسير قرار ميده . بعد از اجرا ديگه نه اثري از فايله هست نه درايور و نه کليدش تو رجيستري!!!
نرم افزار RootKit unhooker (تنها نرم افزاري که تونست پروسز رو بکشه) وضعيت (status) اين فايل اجرايي رو Hidden From Windows API ميگه و در رابطه با درايوره
>Hooks
tkrnlpa.exe-->NtOpenProcess, Type: Inline - RelativeJump at address 0x805CB428 hook handler located in [srosa.sys]
ntkrnlpa.exe-->NtQuerySystemInformation, Type: Inline - RelativeJump at address 0x806110B8 hook handler located in [srosa.sys]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
در ضمن با تمام سورس هايي که در زمينه ليست کردن پروسز ها بودن تست کردم نجوابيدم.
لطفا راهنمايي کنيد چطور ميتونم اين پروسز رو با برنامه دلفي ببینم و از تو حافظه خارج کنم.
با تشکر.