rootkit内核级后门 利用线程注射DLL到系统进程,解除DLL映射,并删除自身DLL和EXE文件,删除自身创建的服务,仅仅存在于内存中。于是在寄主机器上无法找到任何新增服务项,磁盘文件或者是进程空间里的不明DLL。关机时,该程序会截获关机的调用,在系统关闭之前恢复自己。 无文件无进程无服务无DLL不开任何端口,可以直连系统135,445,80等端口。运行后将躲开所有杀毒软件的查杀,中招后只能用GHOST还原或重装系统!是个定级货危害很大
先用WebCrazy的文章,再看看《Windows Internals》、《Undocumented Windows 2000 Secrets》等,备一本《Windows NT Native API》参考参考。