防毒手記 遭遇Infostealer

2021-04-08 21:58:05 字數 1147 閱讀 7583

這段時間有點背。

就在乙個月前,由於在野站點下軟體,被暗算了流氓軟體,導致機器頻頻彈出激情廣告還不算完,更甚者是搞掛了我機器上cc——天天就靠它管理**來著。費了點勁把流氓軟體給做了,可是對cc還是回天乏力。實在不知道cc的哪根筋不對,只好重灌了。

新裝的系統,乾乾淨淨,比以前輕快了不少,乙個月來機器用的非常順手。本想生活就此又恢復了平靜和有序,沒想到這個幻想在今天早晨破滅了——機器又遭到病毒襲擊。這次比上次更猛烈,所有的.exe檔案都不能使用了(防毒程式也不例外),只有駐留在記憶體中的病毒監控程式不時地彈出警告視窗,無助的提示這是病毒。

****!最近工作很緊張,大早晨起來就不能進入狀態!防毒軟體靠不住了,那就只能靠我們自己的了。還好病毒監控程式告訴了我病毒的名字——infostealer。我在同事的**上網搜尋了下相關資料,大概了解了它的習性。還好它僅僅是更改了.exe的檔案關聯,並在系統啟動引數裡面動了手腳,問題不是很大。最後我用了兩個小時的時間,終於將它搞定了。下面我就簡單得說下操作步驟,也許對你會有些幫助。

1.拔掉網線,重啟機器,在windows啟動過程中,按f8進入高階選項介面(這裡以2000server為例),選擇安全模式進入。

2.在開始--執行中輸入"regedit"開啟登錄檔編輯器,首先備份下登錄檔。然後查詢hkey_local_machine/software/microsoft/windows/currentversion/run,這裡是當前機器啟動時要執行的命令程式,檢查裡面是否有異常鍵值,清除掉它。比如這只病毒就比較「可愛」,它的鍵名便叫「trojan programme」。

3.執行病毒軟體,對系統盤全面防毒。這種病毒一般會在系統盤下、ie臨時資料夾內、winnt、system32裡面生成多個.com檔案。刪除查到的病毒檔案。

4.重啟機器,確認病毒是否已經清除乾淨,如果沒有則重複上面的動作。在上面操作中可能會遇到在安全模式下exe命令也無法執行的情況,比如regedit.exe。解決方式有二,可以將字尾修改為.com或者切換到帶有命令列提示資訊的安全模式。

5.由於病毒僅修改了.exe的檔案關聯,沒有對exe檔案做什麼手腳,所以比較好處理些。下面來恢復它。一般有兩種方法,你可以選擇其一:修改hkey_classes_root/exefile/shell/open/command下的default,鍵值為"%1" %*;或者進入帶有命令列提示資訊的安全模式,執行assoc .exe=exefile。 

滲透測試中遭遇防毒軟體

最近測試乙個專案,提權時遇到了防毒軟體,n多工具都被殺掉了,雖然最後都成功提權了,但是還是或多或少的給我們提權造成了不少的麻煩,尤其是提權成功後使用cain嗅探,cain被秒殺,別提多鬱悶了。這裡就我提權過程中遇到的兩款防毒軟體來進行一下總結,總結一下如何在提權成功後關掉這兩款防毒軟體。1 免密碼關...