来源:蜘蛛抓取(WebSpider)
时间:2017-01-26 12:11
标签:
safewall.sys
查看:798|回复:5
提示: 作者被禁止或删除 内容自动屏蔽
高级工程师
引用:原帖由 w 于
15:41 发表
新手问题求教- -希望各位大神可以不厌其烦。 这是正常现象。
审计的目的就是要把一些敏感和关注的操作记录下来,供事后的分析和取证。
比如你提供这两条信息,就记录下来SYS(系统帐号,权限很大)帐号什么时间,从什么位置登录了。如果你发现在这个时间拥有使用该帐号的人没有使用过,或者登录的位置出现异常,那么就可以推断出SYS帐户密码已外泄,需要马上修改并进一步查找外泄的原因(比如是人为泄露,还是被破解等)。
提示: 作者被禁止或删除 内容自动屏蔽
高级工程师
引用:原帖由 w 于
16:12 发表
那在保证我这台电脑是安全的情况下,我使用sys用户登入,能够让它不发出对我这台电脑的警告吗? EM没怎么用过,可能有地方可以设置,对于严重性等级不高的信息不显示,或不主动弹出。
audit,命令可以取消审计,其实没啥影响,每天看看自己登陆得状态,看看工作历程,也挺文艺得
审计是可以关闭的,不过不建议关shadowsafe.sys是什么病毒 - 维维软件园
shadowsafe.sys是什么病毒
来源:不详作者:不详时间: 9:27:00(0)
&&& 该样本是使用&Microsoft visual C++/C&编写的&盗号木马&,采用&FSG&加壳方式试图躲避特征码扫描,加壳后长度为25,385字节,使用& exe&扩展名,通过网页木马、下载器下载、等方式进行传播。
用户中毒后,会出现计算机及网络运行缓慢,游戏进程无故退出等现象。
网页挂马、文件捆绑、下载器下载
1.病毒运行后遍历进程,查找并结束进程dnf.exe、dnfchina.exe和qqlogin.exe。
2.释放配置文件&%ProgramFiles%\zydxc.dat&,动态库文件&%ProgramFiles%\dnf\zydxc0124.dll&以及驱动文件%ProgramFiles%\dnf\ shadowsafe.sys。
3.调用rundll32.exe,以Start为参数启动zydxc0124.dll。
4.zydxc0124.dll中,创建线程,读取并解密配置文件。
5.创建名称为shadowsafe的服务,恢复SSDT。
6.创建线程,查找图片传真查看器、Microsoft Photo editor、Microsoft office Prcture Manger、ACDSee、Adobe、XnView、Picasa等图片查看编辑窗口,创建截图,保存在C盘根目录,设置为系统隐藏属性。
7.创建线程,在dnfchina.exe申请空间,将%ProgramFiles%\dnf\zydxc0124.dll写入,创建远程线程。
8.获取游戏安装目,读取游戏登陆信息;连接网络,将登陆信息和游戏账号、密保截图发送到指定地址。
病毒创建文件:
%ProgramFiles%\zydxc.dat
%ProgramFiles%\dnf\zydxc0124.dll
%ProgramFiles%\dnf\ shadowsafe.sys。
病毒创建注册:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit %SystemRoot%\system32\userinit.exe,rundll32.exe %ProgramFiles%\dnf\zydxc0124.dll Start
1、手动删除以下文件
%ProgramFiles%\zydxc.dat
%ProgramFiles%\dnf\zydxc0124.dll
%ProgramFiles%\dnf\ shadowsafe.sys
2、手动删除以下注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit %SystemRoot%\system32\userinit.exe,rundll32.exe %ProgramFiles%\dnf\zydxc0124.dll Start
大家还看了:
[访问统计:]
上一篇:下一篇: