下面引用由rsjd在 2004/04/13 09:41am 发表的内容:
我只能在这里说一句:“木马克星”本身就不是什么好东西
下面引用由zhengjian在 2004/04/13 03:58pm 发表的内容:
到底有没?
下面引用由vert在 2004/04/13 09:14am 发表的内容:
而后我追踪了深山红叶的pe镜像
发现如下:
V10
P:\PEXP\SYSTEM32\FACTORY.EXE 发现木马\PEXP\SYSTEM32\PROUnstl.exe 发现木马\PROGRAMS\BiosInfo\BIOSAG.EXE 发现木马\PROGRAMS\TOOLS\文件夹虚拟驱动器.EXE 发现 ...
下面引用由crshen在 2004/04/13 10:27pm 发表的内容:
不要太危言耸听好不好,深山红叶跟你有什么深仇大恨,犯得着放这么多木马吗?
随便选了个v10版中的BIOSAG.EXE,查看为aspack加壳,pe格式分析并无捆绑文件。脱壳后再次分析也没有发现捆绑。用瑞星16.21.40及金山 ...
下面引用由HuAnGkUn在 2004/04/14 01:36pm 发表的内容:
我只用国外的。国内的水平不够,人品更臭!
下面引用由emca在 2004/04/15 11:06pm 发表的内容:
再重申:本人没有想让你相信没有木马,也没有承诺没有木马!就象无数的其他的程序或文档那样……哈哈!有趣!!
因精简文件体积的需要,对一个PE文件用Aspack进行加壳压缩,就可认为是木马??
给个脱壳后程序有二次跳转指令或者在内存或磁盘中分解出木马实体的证据先!
如果再不相信,可在一机上有目的地试用,用防火墙监视各端口,监视注册表、文件的修改,如发现与木马行为相关的异常,并排除其他可能因素后,再下结论不迟。
深山红叶 余兄:
洒家举双手双脚(能举的都举)支持你~~
支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~
下面引用由mpu9123在 2004/04/14 01:58am 发表的内容:
大家好,我是雨浪飘零!
首先就光盘内查出木马向大家表示抱歉!
由于我现在出差外地,没法亲自验证,现在还不能确定。但从大家所查的结果来看,可能真的有木马存在!再次向大家表示抱歉!
盘里所有的工具大部分都是从网上下载的,使用时用了MACFEE和KV2004双重查毒,没有发现病毒!
这里想告诉大家的是,查出有木马,请先确定此木马是主动激活木马还是永久休眠木马,亦或是木马克星的误报?!
如果是主动激活木马,那我的罪责就大了,因为一旦由于光盘的流通造成重大问题,我可能因此要负法律责任!如果是永久休眠木马,大可不必惊慌,因为永久休眠木马虽然有木马性质的代码存在(木马克星就是根据此种代码判断程序是否为木马),但并没有引用代码,那它就永远不会感染文件和系统,更不会传播了。这种木马代码其实就是一段控制代码,在远程控制软件中都存在!大家如果用过流光的话,就知道几乎所有杀毒软件都把流光报为病毒,但流光本身并没有感染和传播功能,即使运行它都不会对系统造成影响。
因此,当查出木马存在的时候,不必惊慌失措,只要判断它是主动激活木马还是永久休眠木马!判断方法是运行一次程序后,查杀系统,如果系统已经被感染,说明是激活木马,这个是非常危险的!如果运行后系统并没有被感染,那就说明是休眠木马,根本不会对感染和传播。就在刚才,还有位朋友在QQ里提醒说“shutdown 含有的木马,被称为 trojan.rebootpc.b ”,其实这个shutdown.com是我从国外的SUPERPE ALL IN ONE中提取出来的,如果这个也是木马的话,那么SUPERPE ALL IN ONE也必然含有木马了,可是并未见大家报告它里面有木马???
有些朋友可能会说如果程序里的木马代码段用定时代码控制,只在一定的时间爆发,这样也是有危险的?其实目前大可放心,因为现在基本所有的病毒查杀工具都有对定时代码扫描的功能,如果一个程序里含有定时爆发代码,首先就会被各大杀毒软件发现,不会等到你用木马克星去发现的!!!
看了以上的说明,大家应该对木马有了解了吧?因为我现在出差外地,这个周末或者下个星期才能回去,所以现在我也不能绝对的说光盘里的都是永久休眠木马。但我做出来时用KV和MACFEE双重杀毒没有问题,所以目前至少我还是持乐观态度的!
另外说明一下,其实这个版本我并没有放出来,只是在熊坛内部交流的一个版本,是为了纪念我们扬州聚会制作的,因此里面才会有我们的聚会照片。可能是热心网友想分享给大家,才从熊坛联盟FTP下载后提供给大家的。
去年的0810版之后,我的工作就忙起来了,因为非典已经过去了,所有的工作开始正常了,所以没法象制作0810一样用那么长的时间和精力去制作和升级。虽然我一直想把升级版本发布(国庆版和圣诞版),但是由于并不是真正成熟的作品,所以一直没有发布,只在内部给朋友试用。这次一样,为了纪念我们熊坛网友扬州聚会成功,赶着时间制作了第六版,虽然做了大量升级,但还没有让自己非常满意,所以也没打算放出来,只给熊坛内部试用。
但热心朋友既然放出来了,其中的问题我当然不能不管,而且因为我的不严谨给大家造成的后果,我也一定会负责的!就这次木马事件,如果真的有激活木马存在,我一定会给大家一个说法的!!!
再次向大家表示抱歉!!!
最后,想请各位热心朋友帮忙测试一下,是否真的有激活木马。因为我现在外地出差,到周末或者下个星期才能回去,这些工作,只能请大家代劳了,非常感谢!!!
下面引用由vert在 2004/04/15 11:27pm 发表的内容:
也是那种不会上传“ftp”的人员之一,
下面引用由emca在 2004/04/15 11:40pm 发表的内容:
如果对自己的东西没有把握,再真诚的态度也是马后炮而已,嘿嘿
另外,本人未发布的新的 PE 中还真的有目的地放进了“木马”类型的东东,目的是方便在某些情况下进行远程控制——某些情况下维护系统或网络时图个 ...
| 欢迎光临 无忧启动论坛 (http://bbs.c3.wuyou.net/) | Powered by Discuz! X3.3 |