2003下未知监控进程的查找
2003下,某个可执行程序被监视,症状如下,如果你删除该程序,系统提示无权限,通过冰刃可以删除,但是2秒内会自动生成一个,
如果你通过其他程序改名来覆盖,2秒内同样会自动生成一个,至此,我判断一定有个后台的
进程在监视,只要不是该程序,马上自动生成。
下面开始查找该隐藏的东东了
经过监控,发现winlogon.exe这个程序会来监视,毫无疑问,这个程序是系统进程,
那查看了winlogon.exe模块和进程,没有发现什么可疑的(水平有限)
至此,已经走不下去了
1、一个进程中的线程列表和模块有什么关联和区别
2、下面应该怎么做才能找出相关的可以文件(使用什么工具) 使用sreng生成一个日志看看吧。
[ 本帖最后由 trendmicro 于 2010-3-1 16:05 编辑 ] 这个东西用过了,没看到什么异常的
可能木马替换了某个DLL,用了伪造的微软数字签名,并且免杀,所以 呵呵呵呵,既然你这么自信,那你就用filemon吧。 用Porcexp查查加载的驱动吧,还没见过哪款进程管理软件有它强的,记得勾上“verified signer";
当然Xuetr之类的工具也是很有帮助的,还有就是现在很多Rootkit都有关机回写功能,处理完未知文件后,直接断电吧。 呵呵,关键是没有解决问题的思路,所以卡住了 嘎嘎,刚才的东西没有发出来。楼主你把sreng的日志发出来让我瞧瞧吧。我好久没接触病毒了。shamingwei@163.com 今天远程给一个朋友处理了一个病毒,情况类似楼主的情况。可以部分病毒,但是有个隐藏的进程查不到,在努力中 感谢各位的关注,问题已经解决,但是不知道原因,哈哈
监控到winlogon就是用的filemon
通过procmon查看了stack,也是没有发现
虽然问题解决了
页:
[1]