平时我是用maxthon上网的,所以不知道从什么时候开始我的IE不能上网了,该查的都查了也没发现问题,就一直没管它,反正我很少用IE。
不过昨天突然发现只要开着狙剑,我的IE就能上网,想想可能中恶意程序了。比较开着狙剑时IE加载的模块和不开狙剑时IE加载的模块,没有发现差别。
又怀疑是kis的问题,于是把kis卸了,一重启,郁闷了,发现SSDT下有关注册表的全被某驱动HOOK了(装着kis的时候它不HOOK),该驱动没有全路径,找了整个windows目录也没此文件,怀疑驱动是用来把自启动项隐藏,搬出regsnap,比较恢复SSDT HOOK前后枚举到的差异,希望能以此发现它的可执行文件路径,可什么也没发现。
用rootkitunhook dump了一份驱动文件,看了看发现它的原路径应该是drivers目录的,并且文件名是动态的,重启后证实驱动文件名的确是动态的。
由于找不到驱动文件是谁把它加载起来的,边上又没ERD盘,怀疑是在关机的时候释放sys,于是蓝屏试了下,还是没用,那么驱动只能是在开机的时候释放加载的,于是设置drivers文件夹的权限,只允许system读,阻止一切写,注册表中的services项也设只对system读允许。重启后果然驱动没再加载,然后用autoruns清理注册表自启动项,恢复drivers文件夹和注册表权限,重启后驱动没再加载,证明木马已被清除。
