rootkit內核級后門 利用線程注射DLL到系統進程,解除DLL映射,并刪除自身DLL和EXE文件,刪除自身創建的服務,僅僅存在于內存中。于是在寄主機器上無法找到任何新增服務項,磁盤文件或者是進程空間里的不明DLL。關機時,該程序會截獲關機的調用,在系統關閉之前恢復自己。 無文件無進程無服務無DLL不開任何端口,可以直連系統135,445,80等端口。運行后將躲開所有殺毒軟件的查殺,中招后只能用GHOST還原或重裝系統!是個定級貨危害很大
先用WebCrazy的文章,再看看《Windows Internals》、《Undocumented Windows 2000 Secrets》等,備一本《Windows NT Native API》參考參考。