Langouster 's Blog(虾 窝)

奥运开完了，网络形势又变的复杂，为了防止那些Script Boy通过XSS来搞我，今天把IIS Firewall升级了下，又重新开启了访问控制。

本来那个支持IP段时候有问题，而且现在自已上网IP变数太大，经常自己想进后台也进不去，后来嫌麻烦干脆关了。

今天花了半小时搞了下，希望解决了问题。太迟了，没仔细测，但愿不会有本该访问的不让访问的情况。测试: www.langouster.com/admin

中秋节大概都去爽了，可怜一个人呆住的地方。

突然想下个瑞星2009来玩玩，不过本人搜索技术不行，没找到下载地址，只好先下个2008回来玩玩。

在虚拟机上装了，大概看了看，感觉不是太严谨，找到一个可以无视它让它形为虚设的方法。

其实也没啥意思，本意是因为开发过程中遇到点难题想看看瑞星它们怎么解决的，后来一看，它也是傻傻的而已。。。

当年的3721，如今的360。

以前N多写rootkit的转行了，现在反过来搞杀毒软件了。

用卖rootkit赚的钱，注册一个XX科技公司，然后在技术论坛发个贴“XX公司高薪诚招系统底层工程师”。

一切顺利的话，过个两月一个杀毒软件就面世了。。

平时我是用maxthon上网的，所以不知道从什么时候开始我的IE不能上网了，该查的都查了也没发现问题，就一直没管它，反正我很少用IE。

不过昨天突然发现只要开着狙剑，我的IE就能上网，想想可能中恶意程序了。比较开着狙剑时IE加载的模块和不开狙剑时IE加载的模块，没有发现差别。

又怀疑是kis的问题，于是把kis卸了，一重启，郁闷了，发现SSDT下有关注册表的全被某驱动HOOK了（装着kis的时候它不HOOK），该驱动没有全路径，找了整个windows目录也没此文件，怀疑驱动是用来把自启动项隐藏，搬出regsnap，比较恢复SSDT HOOK前后枚举到的差异，希望能以此发现它的可执行文件路径，可什么也没发现。

结束icsword1.22

rootkitunhooker3.7

360安全卫士4.6 

360保险箱2.1

 为广大网民着想，只放个录像。

发了一个很久前写的进程监控软件，SSDT HOOK技术，先运行install.bat，然后就可以运行ProcessMon.exe了。

欢迎反馈BUG。

下载： procmon.rar

啥也不说了，直接讲方法：

修改C:\\Documents and Settings下所有的快捷方式（为提高速度也可只修改C:\\Documents and Settings\All users下的）

使它们都指向我们的一个中介程序temp.exe，并将原始程序的路径作为参数传递给temp.exe

temp.exe先启动原始程序，再启动我们的目标程序（如木马），并设置一个标记，以后就不再启动目标程序了，除非再启了。

注意点：......