Re: [問題] 卡巴掃到EFix底下有毒 (帶kavo kxvo說明)

看板AntiVirus (防毒)作者junorn (威廉華勒斯)時間17年前 (2008/08/23 20:16)推噓3(3推 0噓 2→)

留言5則, 4人參與討論串1/1

續前一篇前面一篇有提到kavo為何會造成那麼多問題？這要從他的原理開始說起...大略啦詳細那是防毒公司要提供的首先kavo現在的動作是這樣，從以前到現在都一樣，中間可能有一點小誤差或順序相反不過基本上都一樣。執行病毒檔 -> 產生驅動檔 (.sys) -> 驅動檔修改或調用 explorer.exe (工作列) 檢查是否有新版程式並破壞防毒部分監控 -> 產生 kavo0.dll 掛載在 explorer.exe 上 -> 破壞隱藏檔顯示 -> 產生autorun.inf檔以及對應autorun.inf要執行的病毒檔 -> 複製autorun.inf對應到的病毒檔到system32資料夾下改名為kavo.exe 並寫入啟動登錄值kava對應到kavo.exe這檔案 -> 每隔五秒重複破壞隱藏檔顯示動作。中間穿插當發現到新版程式時會在載入一開始產生的驅動檔並重複最一開始的步驟。好，大致步驟是這樣了中間還有其他的變數，一樣等一下再提再來是防毒是怎麼樣在刪除這毒之後讓電腦出問題？首先： 1. 執行病毒檔 -> 產生驅動檔替換原本檔案並取代原檔案功能他的產生方式可能有底下幾種 a.刪除原檔後產生新檔 b.產生檔案後覆蓋原檔假設kavo走方案b ，由於他在產生時就已經被防毒檔下所以系統不會有異常情形但如果是走a的話.... 那就會造成病毒已經刪除原檔案，但他要補上去的檔案被防毒刪掉結果就是沒有這個檔.... 在沒有系統檔案的情形下，那就是看少哪個檔就出什麼樣的問題了 vga.sys -> 預設顯示卡驅動程式沒另外裝顯示卡驅動程式 -> 到哪個模式開機都藍屏有另外裝顯示卡驅動程式 -> 安全模式進不去 tdi.sys -> 網路傳輸驅動程式介面驅動程式不管有沒有另外裝網卡驅動 -> 網路無法使用 klif.sys -> 卡巴核心防護驅動程式沒裝卡巴使用者 -> 開機後重新載入驅動程序並下載木馬等東西並且有可能因為kavo作者驅動沒寫好造成開機時直接當機有裝卡巴使用者 -> 卡巴自我防護程式與病毒搶這個檔造成衝突結果開機就死機或者是各種系統問題以上是他最一開始的步驟被防毒檔下所產生的問題可能性 2.產生kavo0.dll時防毒檔下前面提到explorer.exe已經被病毒修改，所以每隔幾秒鐘會一值產生kavo0.dll 和kavo.exe檔案，此時防毒就會一直跳病毒顯示訊息造成使用者困擾而上面所說比較強一點的防毒或清除軟體可以阻止他再繼續產生檔案但還有一個地方，那東西叫autorun.inf 但由於這東西是正常檔案，所以防毒不會對他叫，除非該防毒有特別針對內容去篩選他是否連結到惡意程式在上述情形下病毒檔都刪了，但因為autorun.inf對應不到要執行的檔案所以就會發生所謂的硬碟打不開的情形 ( 這裡只的是要你選用哪個程式開啟 ) 然而上面這些情形在防毒都沒有檔下的情形下系統使用基本上根本就和正常一樣完全感覺不出來所以才會很多人覺得怎麼我防毒或一些清除程式 (包含EFix) 怎麼執行了之後系統就出了問題，原因大多和這樣類似。以上是為何防毒刪檔案後會讓系統出問題的情形。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86 ※ 編輯: junorn 來自: 220.132.171.86 (08/23 20:17)