恢复SSDT过卡巴主动防御分析
这个不是把你的马以资源形式放到过主防的EXE里再释放出原文件运行的那种.是向目标文件插入ShellCode, 成功后目标文件大小增加11 Kb。ShellCode负责释放加载一个Dll, DLL替换Beep.sys然后加载利用替换掉的Beep.sys恢复SSDT, 所以应该可以过卡巴7的主防。
注意:
1、可能导致蓝屏!
2、 不判断是否有卡巴或者瑞星之类的进程存在,不分青红皂白的恢复.
使用方法:
命令行工具,输入
mKkIlLeR.exe [马的路径+名字]
如
mKkIlLeR.exe notepad.exe
http://www.antidu.cn/upfiles/2008/09/25/071437.jpg
http://www.antidu.cn/upfiles/2008/09/25/071504.jpg
http://www.antidu.cn/upfiles/2008/09/25/071847.jpg
页:
[1]