| 关于一些来信 |
|
年末太忙了,本来说不冒泡的,不过收到好几封热心朋友的来信,提到unreal这个test用的rootkit,一看blog,也有人贴出来了,晕倒。
怎么说呢,这个东东噓头大于实用,技术也很老。其实IceSword以及别的很多detector一样,技术上很容易检测它所谓的“隐藏文件”,但是因为种种原因没有提供功能把结果显示出来。GUI界面没有显示是因为没有枚举ntfs的ADS,而FileReg也没有列出就仅仅是因为不显示根目录(觉得多余),而它恰恰就把文件放到了根目录的命名数据属性里。不得不承认这是个疏忽,不过这个rk大家不必那么在意。
实际上根目录在FileReg里的fileid是5,不过没有显示,但依然可以用fileid访问,大家可以这样使用FileReg:
mount 0 0
ads /#5
ads /#5就是显示root目录的ads,就很清楚看见unreal.sys
太忙了,小的更新也暂时没空,大家检查时多关注注册表各可能的启动点就好,不用太担心又有新rk侵袭。
|
| 标签: |
作者 pjf 评论() | 人气()
| 引用(0) | 推荐 | 保存日志 | 问题日志 | 收藏到网摘 | 返回首页
|
|
|
