用Procexp查看系统加载的可疑驱动项

发布时间:2019-06-22编辑:佚名阅读(912)

采用Rookit 技术的驱动级病毒木马(又称影子驱动)已经成为一种潮流,但对付这种病毒木马,杀毒软件却显得有气没力了,要么是发现不了,要么是发现了清除不了,卡巴也不例外!现在已经见怪不怪了,这些天在写关于手动杀毒的文章,其中提到的是利用Procexp 、IceSword 来协助查杀,刚才发现有现成的图解教程,在这里提供给大家学习学习!

介绍一下用Procexp查看系统加载的驱动的方法。

1)启动procexp

2)在菜单栏选择View->Show Lower Pane 

3)在菜单中选择View->Lower Pane View->View DLL或在工具栏中选择“View DLL”, 

4)用鼠标选择System进程,则当前系统加载的驱动程序在下面的列表中被列举出,如图

查看动态加载的驱动,例如Procexp本身的驱动就是动态加载的,原理是首先EXE释放出PROCEXP100.SYS到%systemRoot%\system32\Drivers目录下,动态加载后删除此文件。

Procexp的查看系统当前加载的驱动程序功能,可以让我们找到那些通过动态加载的可疑驱动程序,发现Rootkit级木马的行踪。

另一个重量级工具IceSword 有一个查看SSDT(系统服务描述表)的功能,即可以查看那些驱动程序是否替换了系统服务表中的系统内核调用,但对于那些不替换的驱动它是不会显示的。

IceSword之所有可以查看一些Rookit木马进程,也是使用了驱动技术。

补:不管你用什么工具,找到Rookit 驱动级病毒木马,都应该先在注册表中删除其键值,

HKLM/System/currentcontrolset/Enum/Root/Llegacy_ 驱动名(病毒文件名)

HKLM/System/currentcontrolset/services/ 驱动名(病毒文件名)

HKLM/System/controlset001(002,003 中也有相同内容)/Enum/Root/Llegacy_ 驱动名(病毒文件名)

HKLM/System/controlset001(002,003 中也有相同内容)/services/ 驱动名(病毒文件名)

清除方法,用冰刃打开注册表,并展开以上项目并删除。

  关键字:Procexp查看系统加载驱动


鼓掌

0

正能量

0

0

呵呵

0


评论区