rootkit內(nèi)核級后門 利用線程注射DLL到系統(tǒng)進(jìn)程,解除DLL映射,并刪除自身DLL和EXE文件,刪除自身創(chuàng)建的服務(wù),僅僅存在于內(nèi)存中。于是在寄主機(jī)器上無法找到任何新增服務(wù)項,磁盤文件或者是進(jìn)程空間里的不明DLL。關(guān)機(jī)時,該程序會截獲關(guān)機(jī)的調(diào)用,在系統(tǒng)關(guān)閉之前恢復(fù)自己。 無文件無進(jìn)程無服務(wù)無DLL不開任何端口,可以直連系統(tǒng)135,445,80等端口。運行后將躲開所有殺毒軟件的查殺,中招后只能用GHOST還原或重裝系統(tǒng)!是個定級貨危害很大
先用WebCrazy的文章,再看看《Windows Internals》、《Undocumented Windows 2000 Secrets》等,備一本《Windows NT Native API》參考參考。