XP真是脆弱不堪一击

wye11083 · 发表于 2013-9-20 11:45:20

昨天换了个局域网，结果今天发现chrome，ie随机打开hao123，还好在防火墙里直接屏蔽了。我纳闷很久，找不到任何可疑程序。最后用当年的XueTr，检测未发现异常。但是，在内核钩子里看到cbs.sys HOOK了CreateProcess还有一个什么东西。我曰，驱动HOOK这两个函数肯定不是什么好鸟，果断删除并卸载，不用说，一打开程序就蓝屏了。重启，没有hao123了。附这个文件，看谁能找出蛛丝马迹来。

wye11083 · 发表于 2013-9-20 12:12:09

renpeng009 发表于 2013-9-20 11:52
你是不是装过 Magic Desktop 这样的软件？

装个毛，要不是IE和Chrome首页都被篡改成hao123（注意不是改的主页，而是进程注入，因为首页根本就没有那一项），我才不会发现哪个鬼在后台搞呢。分析就是这个驱动HOOK了CreateProcess，然后判断如果是Chrome或IE，就插入一个线程，创建一个hao123的页面。

yyts · 发表于 2013-9-20 12:18:17

换了个局域网就出现这个问题啦?

wye11083 · 发表于 2013-9-20 12:37:08

yyts 发表于 2013-9-20 12:18
换了个局域网就出现这个问题啦?

有时不得不怀疑，因为我自己的局域网是非常干净的，但这个是公用局域网。

skylly3 · 发表于 2013-9-20 12:46:45

有数字签名的， Magic Desktop的，估计是他们公司用来做增值业务的。

wye11083 · 发表于 2013-9-20 13:28:56

skylly3 发表于 2013-9-20 12:46
有数字签名的， Magic Desktop的，估计是他们公司用来做增值业务的。

呵呵，数字签名可以伪造的，以前中过一个病毒。如果是增值业务，难道公司的人不知道，这样做只会让用户对该公司以及百度更加厌恶？

skylly3 · 发表于 2013-9-20 13:45:49

我以前在某公司也做个类似的增值业务，公司当然知道，因为有利可图，不然也不会做。
至于加数字签名是没有办法的事情，在64位win7下没有数字签名，驱动是不允许加载的。

wye11083 · 发表于 2013-9-20 14:05:39

skylly3 发表于 2013-9-20 13:45
我以前在某公司也做个类似的增值业务，公司当然知道，因为有利可图，不然也不会做。
至于加数字签名是没 ...

看来这一些公司为了钱，连自己的商业道德都不要了，就跟360一个狗样。

abcd200844 · 发表于 2013-9-20 15:20:45

开机后，win7占内存真大啊，1个多G，还是Xp少，100-200M

McuPlayer · 发表于 2013-9-20 15:34:39

数字签名并不保证不是病毒，只能保证中途没人修改过。

aureole · 发表于 2013-9-20 15:52:23

abcd200844 发表于 2013-9-20 15:20
开机后，win7占内存真大啊，1个多G，还是Xp少，100-200M

因为win7 有缓存，吧常用的东西都缓存到内存里了，话说内存留着他干啥啊

SkyGz · 发表于 2013-9-20 15:59:14

跟了一下这个SYS, 很恶心啊, 不仅HOOK了你说的那个API, 还和360有关(h a o . 3 6 0 . c n)...还会搞DHCP

censtar · 发表于 2013-9-20 16:38:41

学习一下

wye11083 · 发表于 2013-9-20 17:27:31

SkyGz 发表于 2013-9-20 15:59
跟了一下这个SYS, 很恶心啊, 不仅HOOK了你说的那个API, 还和360有关(h a o . 3 6 0 . c n)...还会搞DHCP ...

高手，膜拜
如果是这样子，那必然是一小摄利益集团搞的了。木办法，XP系统快，内存占用小，但是缺点也是一大堆，安全性能最差（仅比win98强那么一点）。如果打一堆补丁，那就慢得无法忍受了。我还是虚拟机+主机吧。。不过VMWARE貌似会导致L2命中率大幅下降（或者TLB命中率大降），反正是开着VMWARE，其它内存密集型应用程序性能下降幅度高达40%以上，很吃不消。

zhaoyi821103 · 发表于 2013-9-20 17:50:48

XP 对比win7 稳定性，安全性以及新硬件支持性全面落败，搞不懂那些上了酷睿双核以上的还装XP干什么，以后就小心0-DAY
攻击

wye11083 · 发表于 2013-9-20 17:56:38

zhaoyi821103 发表于 2013-9-20 17:50
XP 对比win7 稳定性，安全性以及新硬件支持性全面落败，搞不懂那些上了酷睿双核以上的还装XP干什么， ...

这位老兄，并不是每台电脑都是Core的CPU，并不是每台电脑都有4GB内存，并不是每台电脑都有SSD。2GB内存跑WIN7&8实在是找罪受，谁天天只开一个程序？

hl1200 · 发表于 2013-9-20 22:05:28

wye11083 发表于 2013-9-20 17:56
这位老兄，并不是每台电脑都是Core的CPU，并不是每台电脑都有4GB内存，并不是每台电脑都有SSD。2GB内存跑 ...

那就装linux吧

szmini2006 · 发表于 2013-9-20 22:18:14

还是XP用着习惯了，不好意思老土了

XP真是脆弱不堪一击

本帖子中包含更多资源

阿莫论坛20周年了！感谢大家的支持与爱护！！

浏览过的版块