检测Vanquish
Vanquish 是一个Ring3级别的rootkit,用于隐藏文件,目录,注册表等信息,运行该程序所有Vanquish 字样都将被隐藏,让我们用atool来看看它的原理
服务
在windows管理器中文件被隐藏了,ATool文件管理中发现,因为其未用ring0隐藏导致atool看不到红色,还有一个原因是其dll不能注入到atool当中导致的.
注册表管理器中Vanquish 服务键值被隐藏,atool可以看到,但也没有明显提示
这个地方很明显了 用了ring3的 inline hook. 其中被hook的有文件遍历函数,枚举服务函数,注册表函数操作和进程函数操作函数.
atool中shift+鼠标左键全选,删除hook
还原之后 windows 浏览器就可以看到隐藏的文件了.
[ 本帖最后由 CuteK 于 2008-5-17 21:26 编辑 ] 不错 :victory:
页:
[1]