设为首页

 找回密码
 注册创意安天
创意安天»论坛 安天产品 安天免费工具 系统深度分析工具(ATool) 检测Vanquish
返回列表 发新帖

检测Vanquish

[复制链接]
发表于 2008-5-17 21:17 | 显示全部楼层 |阅读模式
Vanquish 是一个Ring3级别的rootkit,  用于隐藏文件,目录,注册表等信息,
运行该程序所有Vanquish 字样都将被隐藏,让我们用atool来看看它的原理
install.JPG

服务
serv.PNG


在windows管理器中文件被隐藏了,ATool文件管理中发现,因为其未用ring0隐藏导致atool看不到红色,还有一个原因是其dll不能注入到atool当中导致的.
hidefile.PNG


注册表管理器中Vanquish 服务键值被隐藏,atool可以看到,但也没有明显提示

reghide.PNG


这个地方很明显了 用了ring3的 inline hook. 其中被hook的有文件遍历函数,枚举服务函数,注册表函数操作和进程函数操作函数.
ring3hook.PNG


atool中shift+鼠标左键全选,删除hook
delhook.PNG

还原之后 windows 浏览器就可以看到隐藏的文件了.

[ 本帖最后由 CuteK 于 2008-5-17 21:26 编辑 ]
Vanquish, 检测

相关帖子
回复

使用道具 举报

发表于 2008-6-14 01:06 | 显示全部楼层
不错
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-4 01:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表