首页
论坛
课程
招聘
[求助]inline hook?怀疑中毒,如何分析这些 inline hook?
2011-2-26 19:19 3678

[求助]inline hook?怀疑中毒,如何分析这些 inline hook?

2011-2-26 19:19
3678
各位大大好!突然间网速变得奇慢。没有可疑进程,进程中没有可疑的 dll,杀毒没查出问题。但关闭各种应用软件后,抓网卡数据包,发现有连向某IP的 http数据。以及各种 UDP 信息。于是用各种工具进行检查:
先是优化大师的进程管理器,发现了可疑端口

Dsrsrc.exe 是 driver studio 的进程,怎么会出现 heigezi.e 字样呢?看进程 Dsrsrc.exe 的 dll模块,都是有数字签名的。
再用 icesword 看一下端口的信息。这么多的端口信息,完全看不懂。


再用roolkit  检测工具,发现有许多 inline hook。

klif.sys和 kl1.sys 是卡巴的驱动,DbgMsg.SYS是 driverstuio 的驱动,其它就看不懂了。我想 firefox 这样的进程,没理由要挂钩系统函数啊。(系统中没有开其它的调试工具和应用软件)。用工具将 inline hook恢复后,上网速度可以恢复正常。
请问各位大大,我这种情况是中毒吗?如果是,该怎么跟踪发现病毒在哪里呢?
本人水平:在看雪论坛泡了多年,熟悉 od, windbg,等调试工具,能阅读汇编代码。但对病毒了解甚少。希望各位大大能给予指导~~

[公告]名企招聘!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (6)
雪    币: 63
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cfo 活跃值 2011-2-26 20:12
2
0
LZ可以利用Xuetu查看下。
雪    币: 23
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小P孩儿 活跃值 2011-2-26 21:15
3
0
卡巴斯基太卡了吧
雪    币: 34
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
菲零传说 活跃值 2011-2-26 22:31
4
0
楼主啊,试用过小红伞没哦
雪    币: 16
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
捡破烂的 活跃值 2011-2-27 13:50
5
0
卡巴斯基=咔吧死机

看你上面的 图 没有种灰鸽子!

用XueTr工具查下就OK了。呵呵!
雪    币: 404
活跃值: 活跃值 (25)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
kusky 活跃值 4 2011-2-27 18:44
6
0
谢谢楼上各位。但我是想研究一下,怎么手动分析那些 inline hook~~
雪    币: 81
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
Oefvode 活跃值 1 2011-3-1 10:37
7
0
把卡吧缷了试试
游客
登录 | 注册 方可回帖
返回