簡介?

PowerTool是一款免費的系統(tǒng)分析，手動殺毒工具。這款內(nèi)核級的手動殺毒輔助工具，能幫助你找出病毒


木馬在你的電腦中動過的手腳，并去除病毒設(shè)下的機(jī)關(guān)。目前具備以下功能：系統(tǒng)修復(fù)、進(jìn)程管理、內(nèi)


核模塊、內(nèi)核相關(guān)、鉤子、應(yīng)用層、文件、注冊表、離線分析、啟動項、系統(tǒng)服務(wù)、網(wǎng)絡(luò)鏈接、漏洞修


復(fù)等。 ??
PowerTool 的特色在于它能夠獲取較高權(quán)限，從而執(zhí)行一些底層的系統(tǒng)維護(hù)操作，如常用的強(qiáng)制結(jié)束進(jìn)


程、強(qiáng)制刪除文件、強(qiáng)制編輯注冊表、強(qiáng)制刪除系統(tǒng)服務(wù)等等。作為內(nèi)核級手動殺毒輔助工具，


PowerTool 與 PCHunter不相上下，PowerTool 在某些方面提供的功能還要多些，處理速度蠻快。
適用系統(tǒng)環(huán)境：Windows PE / 安全模式 / Windows XP / Windows 2003 Server / Vista / Windows?


2008 Server / Windows 7 / Windows 8 / Windows 8.1 / Windows 10 RTM / Windows 10 build 10586
========

如何使用PowerTool 20秒手動清除鬼影3病毒

“鬼影”系列病毒的共同特點是感染電腦硬盤的主引導(dǎo)記錄（MBR），無論重裝系統(tǒng)或是格式化硬盤都無


法清除病毒。


“鬼影”系列病毒的共同特點是感染電腦硬盤的主引導(dǎo)記錄（MBR），無論重裝系統(tǒng)或是格式化硬盤都無


法清除病毒。在查殺前兩代“鬼影”時，不同廠商推出的專殺工具都會首先修復(fù)MBR，然后再全面掃描清


除病毒殘骸，然而這個方法在查殺“鬼影3”時卻遇到了難題。據(jù)分析，“鬼影3”病毒之所以非常頑固


，原因在于它釋放了一個惡意驅(qū)動作為“保鏢”，用來禁止任何修復(fù)MBR的操作。對殺毒軟件來說，不清


除“保鏢”驅(qū)動就無法修復(fù)MBR，不修復(fù)MBR又無法清除“保鏢”驅(qū)動，從而陷入“鬼影3”怎么都?xì)⒉桓?


凈的死循環(huán)中。
年初的時候我寫過一篇20秒手殺鬼影的教程，斗轉(zhuǎn)星移，病毒的作者精益求精，前段時間，已更新到鬼


影3代了。


不過正所謂魔高一尺，道高一丈，邪還是不能勝正的，現(xiàn)在也有一些鬼影3的專殺工具了，不過為了知其


所以然，我寫一下如何用PowerTool的3.8版來手刃鬼影3病毒~~~
PowerTool 頑固文件清除文件下載地址為：www.jb51.net/softs/25378.html
第一步
看一下鬼影3都干了那些壞事，我們才能夠做到有的放矢


1. 鬼影3的進(jìn)程


2. 鬼影3的文件


3. 鬼影3的流氓快捷方式
?
4. 鬼影3的網(wǎng)絡(luò)連接


5. 鬼影3在內(nèi)核里面的鉤子


6. 鬼影3在的其他勾當(dāng)


7. 最后也是最重要的也就是鬼影3的MBR


差不多就這些了，知道了它干得勾當(dāng)，自然就可以清除它了。
清除步驟：
1.結(jié)束鬼影3的進(jìn)程
2.恢復(fù)隱藏的擴(kuò)展名
3.刪除鬼影3的文件
4.刪除鬼影3的流氓快捷方式
5.恢復(fù)它在內(nèi)核的鉤子(這一步很重要，否則無法恢復(fù)MBR)
6.恢復(fù)成正確的MBR


========

PowerTool手動清除IE自動捆綁hao123一例

http://bbs.kafan.cn/thread-1772662-1-1.html
?
話說本人很少使用IE瀏覽器，但最近由于工作中某個ZF網(wǎng)站只支持IE才能正常顯示(奇葩的設(shè)計），不得


不又使用了一下久違的IE軟件。


打開IE后，發(fā)現(xiàn)自動打開了hao123頁面，確切的說是指向了：http://www.hao123.com/?


tn=91055648_hao_pg頁面。


第一反應(yīng)，進(jìn)入IE設(shè)置，首頁清空，重啟瀏覽器，還是這樣，繼續(xù)搜索注冊表，果然找到幾個“hao123"


的鍵值，刪除之，哈哈，簡單，重啟~


回來~嗯？怎么還是沒用？再次搜索注冊表，并未發(fā)現(xiàn)流氓的蹤跡，MUMM~~，


第二反應(yīng)，右鍵IE快捷方式，啊哈，果然，快捷方式直接添加了流氓軟件的地址。刪除之~，重運行，還


是不行，刪除它，嗯？顯示不具備管理員權(quán)限？啥意思？這有些木馬的感覺啊~~~，重啟，F8，安全模式


刪除，哈哈，成功，小樣~~~~~


再回來~~~，嗯？？？還在？看來有模塊監(jiān)視，自動創(chuàng)建，咋辦？上網(wǎng)，度了一圈，也沒辦法，卡飯一頓


，都是求助，要不就是重裝系統(tǒng)！這么煩？！！


咱是干啥的？折騰唄~~~


殺毒~~~~，沒用


查看啟動項~~~~，沒啥


查看進(jìn)程~~~~，正常


Mummm~~~~~


突然想起了好久沒用的PowerTool,Win7下還沒用過呢，試試，先吹吹灰先~~~


打開，流氓快捷方式——無，（識別不出？），進(jìn)程管理，有紅色的一個個看........，在


Explorer.exe中，發(fā)現(xiàn)了線程:路徑:/bangdun/product.dll,這是啥？摘除之，explorer重啟，還在！還


有鉤子？


繼續(xù)找，鉤子，內(nèi)核入口，啊~又發(fā)現(xiàn)了這個玩意，摘除鉤子~


再次刪除一下快捷方式看看，成功啦，看來就是這東西:Bangdun!啥玩意？找到該文件目錄刪除，系統(tǒng)注


冊表里尋找bangdun并清理。


重啟~~~~~~哈！快捷方式不再生成了，小樣，就是一流氓軟件。


（該過程有幾天時間了，所以本文中的細(xì)節(jié)可能記得不是很完整了，今天上網(wǎng)看看，很多人都在問怎么


清理hao123，我這也算是一個思路吧，大家看看，殺毒記得舉一反三。 ）
========

使用PowerTool快速清除鬼影病毒

http://www.cr173.com/html/11038_1.html


鬼影病毒讓人很惱火，重做系統(tǒng)都沒有用，當(dāng)然現(xiàn)在已經(jīng)有很多鬼影專殺工具了，不過MBR病毒不只限于


鬼影，以后遇到了類似的也可以用PowerTool清除


第一步，先查看MBR是否有異常，如果有紅色的項目，就說明MBR已經(jīng)被病毒篡改了


（PT會自動確認(rèn)是否有惡意代碼和MBR代碼是否被隱藏，然后顯示紅色）


第二步就是點擊自動修復(fù)來修復(fù)了：


?到此為止，確認(rèn)加上恢復(fù)大概是10秒鐘吧


接下來清除鬼影留下的流氓廣告和快捷方式


（普通的刪除方法很煩瑣，PT只需一步就可刪除）


點擊修復(fù)即可，大概耗時5秒


最后，刪除鬼影遺留下來的驅(qū)動文件


也差不多5秒，


最后系統(tǒng)重啟即可，就可以恢復(fù)成干凈的系統(tǒng)了


鬼影其實還只是一個入門級別的Bootkit，以后變種可能會強(qiáng)一些吧


PowerTool還可以對抗隱藏MBR代碼的MBR Rootkit，


如果還無法對抗，


在dos底下修復(fù)MBR最徹底了


重置：


fdisk /mbr


fixmbr(windows恢復(fù)控制臺)


gdisk disk /mbr。
========

使用PowerTool輕松檢測魔影病毒（TDSS.TDL-4）

http://www.cr173.com/html/12812_1.html


?就不過多重復(fù)了，為了保護(hù)自己的篡改的MBR，可謂是用盡可手段，


PowerTool可以在不恢復(fù)和修改TDL-4任何鉤子的情況下，
直接穿透它的防護(hù)，檢測到TDL-4 rootkit


首先，有兩個地方，大家可能以前就知道了，
一個是工作列線程


一個是StartIO的鉤子


這個以前版本的PowerTool就可以檢測到
這次加強(qiáng)了內(nèi)核模塊的檢測，可以看到TDL-4的隱藏驅(qū)動


TDL-4還劫持了ATAPI的設(shè)備


如果以上，大家還不能確認(rèn)是否是真的中了TDL-4病毒的話
最后一個，可以徹底讓它露出真面目，


在MBR里面點擊強(qiáng)力檢測按鈕(目前不支持AHCI/RAID/SCSI模式)
可以完全穿透TDL-4的防護(hù)，檢測到MBR


清除的話，建議大家可以用卡巴或者BitDefender的專殺工具
也可以到PE系統(tǒng)里面，修復(fù)MBR來清除


以后PT會進(jìn)一步加強(qiáng)清楚的工作，呵呵
========

找下PowerTool 0.40最新版的茬 (1)

http://bbs.kafan.cn/thread-1052303-1-1.html


剛看到PowerTool 0.40出正式版了，隨便找了一個測試環(huán)境看了下它的一些功能。


下面是0.40新增或改進(jìn)項目的一點問題。
1、PT新版新增了調(diào)試寄存器的檢測，但是由于對調(diào)試寄存器了解不夠深入，有一些錯誤。
本來準(zhǔn)備拿一些比較特殊的改寫調(diào)試寄存器來測試，但是一看顯示界面，大囧。
??
最新版誤將幾個DRX調(diào)試寄存器的名字寫作CRX（正確的名字應(yīng)該是DR0---DR7），作者對調(diào)試寄存器的了


解還得加深。
PT遇到某個調(diào)試寄存器的值非零就提示該處可能被hook，實際上某些還原軟件也可能對它做手腳，但并


不是hook。
另外，只檢測幾個DRX的值，而沒有檢測相應(yīng)的一些重要標(biāo)志位，更不說一些組合方式利用調(diào)試寄存器了


。


2、PT新版加入了內(nèi)核入口點的檢測，但是由于對syscall（系統(tǒng)調(diào)用）機(jī)制的不熟悉，會導(dǎo)致正常系統(tǒng)


出現(xiàn)一些誤報或者漏報。
PT不支持2000系統(tǒng)，就似乎默認(rèn)了syscall只是某一種，只顯示KiFastCallEntry的地址。
而事實上，即使在Win 7環(huán)境下，三種syscall入口都是可能的。
這里由于PT直接將KiFastCallEntry固定為內(nèi)核入口點，導(dǎo)致檢測不了hook。
另外，由此也導(dǎo)致PT的內(nèi)核入口點檢測讀取錯誤的、不起作用的“入口”地址，通過交叉分析，可能得


出存在hook的結(jié)論。


3、PT新版修正了之前版本將MBR啟動代碼的16位匯編解析為32位匯編的問題。
不考慮重定位，顯示時，PT將啟動地址標(biāo)為00000002，而不是00000000，總感覺怪怪的。


4、PT新版加入了woodmann論壇Kayaker的代碼，實現(xiàn)在Win7快速遍歷指定內(nèi)核區(qū)域。
http://www.woodmann.com/forum/en ... s-space-in-Windows7
不過Kayaker的代碼只是demo性質(zhì)的，存在一些問題，比如最基本的校驗，可能導(dǎo)致崩潰。


5、PT新版改進(jìn)了網(wǎng)絡(luò)連接的顯示，本想測試解析IP庫是否存在問題，結(jié)果測試中出現(xiàn)了藍(lán)屏，所以順便


看了下網(wǎng)絡(luò)連接的枚舉。
Win7下的枚舉，PT使用了debugman的《WIN7下向NSI取TCP UDP信息》提供的代碼。
http://www.debugman.com/discussi ... 4%BF%A1%E6%81%AF/p1
可惜原帖給出的代碼本身存在一些問題，比如分配釋放pool的邏輯存在問題，可能導(dǎo)致藍(lán)屏。
一個典型的下PT在Win7枚舉網(wǎng)絡(luò)連接導(dǎo)致藍(lán)屏?xí)r的棧回溯如下：


945a7464 81c57b92 00000003 1a501172 00000000 nt!RtlpBreakWithStatusInstruction
945a74b4 81c58673 00000003 945a7940 000001ff nt!KiBugCheckDebugBreak+0x1c
945a7878 81dc91d9 000000c2 00000006 0000108e nt!KeBugCheck2+0x6a1
945a78ec 88c1bc15 945a7948 00000000 8cb300b8 nt!ExFreePoolWithTag+0x129
WARNING: Stack unwind information not available. Following frames may be wrong.
945a79a8 88c2d635 945a7a5c 945a7a50 878b3030 kEvP+0x3c15
945a7a6c 88c37dbd 878b3030 8cb300b8 0000f428 kEvP+0x15635
945a7bec 81c4311a 878b3030 8cb300b8 00000000 kEvP+0x1fdbd
945a7c0c 82118a40 8cb300b8 8cb30128 923aff38 nt!IofCallDriver+0x7e
945a7c2c 82119bd6 878b3030 923aff38 00000000 nt!IopSynchronousServiceTail+0x258
945a7cc8 82120332 00000178 8cb300b8 00000000 nt!IopXxxControlFile+0x740
945a7d04 81da8173 00000178 00000000 00000000 nt!NtDeviceIoControlFile+0x4c
945a7d04 7702a364 00000178 00000000 00000000 nt!KiFastCallEntry+0x163
001f8878 77000844 74f8e074 00000178 00000000 ntdll!KiFastSystemCallRet
001f887c 74f8e074 00000178 00000000 00000000 ntdll!NtDeviceIoControlFile+0xc
001f88dc 75c01830 00000178 002221c4 00000000 KERNELBASE!DeviceIoControl+0xee
001f8908 013e6762 00000178 002221c4 00000000 kernel32!DeviceIoControlImplementation+0x80
001ff260 00000000 00000000 00000000 00000000 PowerTool+0xa6762
404 Not Found


今天寫到這里，明天開放。
Anti-rootkit如某些大牛說的，現(xiàn)在越來越多人在寫了，門檻也越來越低了。但是要寫出一個優(yōu)秀的ark


，不僅僅靠得是模仿和不仔細(xì)分析就增加功能，需要對系統(tǒng)機(jī)制的深入理解，需要作者的思考。
有感于一直以來很多人對ark的誤解（當(dāng)然，不是后面PT作者所想的）和前段時間PowerTool交流群某些


人對XueTr作者的人身攻擊，主要給出了PT這次5處更新對應(yīng)項目的一些問題，作為一點回應(yīng)。


一點說明：
1、調(diào)試寄存器，顧名思義，這里指P3 x86下用于擴(kuò)展CPU調(diào)試機(jī)制的Drx寄存器。
調(diào)試器可直接利用它實現(xiàn)硬件斷點（這里是內(nèi)核調(diào)試器），rootkit等可以通過設(shè)置調(diào)試寄存器，可以對


指定地址的讀取、寫入、執(zhí)行進(jìn)行控制，達(dá)到隱藏目的。
這里PT檢測的是全局的Drx寄存器，并不是用戶態(tài)的per thread context下的drx。


舉幾個實例：
1、一些反外{過}{濾}掛驅(qū)動會修改調(diào)試寄存器，達(dá)到阻止hook被恢復(fù)等目的。
2、360還原保護(hù)器會對IO端口下硬件斷點，攔截直接IO方式的穿還原。
3、一些反外{過}{濾}掛驅(qū)動及微點主防驅(qū)動恢復(fù)hook前會清零調(diào)試寄存器，減少受干擾可能。


2、內(nèi)核入口點。
這里內(nèi)核入口點不夠明確，就PT檢測項目而言指的是系統(tǒng)調(diào)用的內(nèi)核入口點。
wiki:系統(tǒng)調(diào)用指程序向操作系統(tǒng)內(nèi)核請求需要更高權(quán)限運行的服務(wù)，它提供了用戶程序與操作系統(tǒng)之間


的接口。
Windows NT下系統(tǒng)調(diào)用對應(yīng)的服務(wù)函數(shù)一般指的是SSDT和Shadow SSDT兩張表內(nèi)的函數(shù)，很多驅(qū)動會通過


替換這些表內(nèi)的函數(shù)或者改寫函數(shù)內(nèi)部代碼等方法實現(xiàn)hook，做一些攔截、隱藏等動作。
而由用戶態(tài)發(fā)起請求到分發(fā)服務(wù)函數(shù)有一個過程，由于SSDT和Shadow SSDT相對明顯，可以通過對從用戶


態(tài)發(fā)起請求到分發(fā)服務(wù)函數(shù)中間過程的代碼進(jìn)行改寫，來實現(xiàn)相對隱蔽的hook。
PT準(zhǔn)備檢測的是便是這部分hook。


簡單來說，PT作者對系統(tǒng)機(jī)制的理解不全面，很多地方?jīng)]有考慮周全，導(dǎo)致漏檢測(比如內(nèi)核入口點只檢


測了一個）
不過將調(diào)試寄存器名稱寫錯有點囧了


Anti-rootkit如某些大牛說的，現(xiàn)在越來越多人在寫了，門檻也越來越低了。但是要 ...


CRX的名字確實寫錯了。。。不過沒什么大礙
重要標(biāo)志位可以自己分析DR7，
不過打算在下個版本，詳細(xì)列出來


入口點監(jiān)測，可能沒檢測全，以后的版本繼續(xù)加強(qiáng)了。。。


后面幾個問題，我也再檢查一下，


PT確實還算不上優(yōu)秀，只能繼續(xù)改進(jìn)，
如果只是進(jìn)程線程文件，確實很多人都可以做，
不過dl牛好像把PT歸于這一類了。。。


而且ARK也不可能全部都考慮到，
即使是XT也有考慮不到的地方，枚舉不到的模塊吧？
PT已經(jīng)加了很多自己的東西，也不能單純的說是模仿了吧


群里面有人攻擊XT嗎？會不會是dl牛過于敏感了
有人習(xí)慣用PT，有人習(xí)慣用XT，不可能讓大家都統(tǒng)一的標(biāo)準(zhǔn)啊。。。
更多的人應(yīng)該是兩個都在用吧。。。


不管怎么說XT在linxer牛和dl牛的努力下，
的確是第一流和最優(yōu)秀的ARK，但是對用戶的要求也很高


而我則努力結(jié)合用戶的反饋加上自己的想法。
做一個簡單易懂的工具，即使不把PT算作ARK，
能在大多數(shù)情況下解決病毒就可以了，呵呵
========

找下PowerTool的茬 (2)——使用PT 20秒檢測并清除ZeroAccess的不可行性

http://bbs.kafan.cn/thread-1061080-1-1.html


? ? ZeroAccess rootkit是最近討論得比較多的一種惡意軟件。它又名max++，ZAccess，得名于rootkit


文件內(nèi)調(diào)試信息中的作者命名。它最早于大半年前在國外一些反病毒論壇和技術(shù)博客被討論，近半年前


在劍盟的一個關(guān)于清理InstallAntiVirus2010的討論帖里，ZeroAccess首次在國內(nèi)被關(guān)注，那時它已加


入了針對檢測工具的反制措施。幾個月后，卡巴、Prex、安博士、SurfRight等廠商對該rootkit進(jìn)行了


公開報道。
? ? ZeroAccess rootkit使用了許多技術(shù)實現(xiàn)隱藏和反檢測，包括驅(qū)動reload and run、虛擬盤、NTFS


文件壓縮、存儲棧設(shè)備擴(kuò)展劫持、文件緩存欺騙、直接操作FCB、引誘檢測、高級自我保護(hù)等。
? ? 看到PowerTool作者在博客發(fā)布了名為《20秒檢測并清除ZeroAccess/ADS流病毒By PowerTool》的博


文，提出了清理該rootkit的簡便方便。不過由于作者并未仔細(xì)分析該rootkit，導(dǎo)致該教程和PowerTool


清理過程中出現(xiàn)很多問題，甚至是安全隱患。結(jié)合自己對清理ZeroAccess的體會，對其中的不少細(xì)節(jié)提


出一些質(zhì)疑。
? ? 這里對清理教程發(fā)現(xiàn)的問題做一些探討。


? ? ? 1、對ZeroAccess自我保護(hù)規(guī)避的不徹底。
? ? ? PowerTool最新版驅(qū)動會在每次分發(fā)時恢復(fù)ZeroAccess新版對IoIsOperationSynchronous函數(shù)的


hook，以此來防止訪問ZeroAccess的ADS流文件時由于未通過rootkit驗證被結(jié)束進(jìn)程并清除文件權(quán)限。
? ? ? 可惜的是，PowerTool這樣做并不能完全規(guī)避ZeroAccess的自我保護(hù)，最新版在很多情況下仍然會


出現(xiàn)觸發(fā)ZeroAccess導(dǎo)致無法正常使用。
? ? ? 試舉一例：
? ? ? PowerTool在啟動時會檢測硬盤，可能會發(fā)送SMART_RCV_DRIVE_DATA的I/O控制碼獲取硬盤信息。


這一動作會被ZeroAccess在Ata/Scsi/Storport等設(shè)備棧最底層微端口設(shè)備驅(qū)動的hook截獲，然后


PowerTool會被無情的結(jié)束進(jìn)程并且文件被清除權(quán)限。
? ? ? 如下所示，PowerTool的訪問被ZeroAccess的hook截獲，PowerTool.exe文件被清除了權(quán)限。
1:kd> p
8154fa2e ff156c945581 ? ?call ? ?dword ptr ds:[8155946Ch] ds:0023:8155946c={nt!


ZwSetSecurityObject (80501fb0)}
1: kd> !handle @ecx
? ? Image: PowerTool.exe
Object: 8137ba48 ?Type: (819edad0) File
? ? ? ? Directory Object: 00000000 ?Name: \Documents and Settings\Administrator\桌面


\PowerToolV4.0.2\PowerTool.exe {HarddiskVolume1}
1: kd> lmvm PowerTool ? ? ? ?
? ? Image path: C:\Documents and Settings\Administrator\桌面\PowerToolV4.0.2\PowerTool.exe
? ? Image name: PowerTool.exe
? ? Timestamp: ? ? ? ?Thu Sep 01 23:22:51 2011 (4E5FA34B)
? ? ImageSize: ? ? ? ?0065F000
? ? ? 2、教程針對ZeroAccess版本的局限導(dǎo)致清除無效的可能性
? ? ? 教程提出20秒修復(fù)ZeroAccess，最后提出的3步，即恢復(fù)hook、清除關(guān)機(jī)回調(diào)和修復(fù)感染文件在很


多情況下是無法清除ZeroAccess感染文件的。
? ? ? 教程對應(yīng)的ZeroAccess版本，是一個多星期前的，并沒有考慮再這之前以及最新的版本。最近的


版本，ZeroAccess自建的微型文件系統(tǒng)的存儲文件也已轉(zhuǎn)移。
? ? ? ? ?
? ? ? 更重要的是，教程中并沒有提到刪除ADS流文件以及該文件對應(yīng)的服務(wù)（實際上0.40版刪除ADS流


文件存在問題），也沒有去嘗試清除ZeroAccess自建的微型文件系統(tǒng)的存儲文件。特別是前者的文件和


服務(wù)配置信息，不刪除可能導(dǎo)致重啟重新感染，這點之前的一些教程帖中已有討論。


? ? ? ? 3、教程給出的清理步驟的多余性
? ? ? 教程提出的三步清理ZeroAccess,除了修復(fù)感染文件，其它步驟，單就ZeroAccess系列而言是沒有


意義的。即使不處理，也不會導(dǎo)致本身清理局限性外的修復(fù)的問題。由于該教程本身針對的是


ZeroAccess的某一版，且有著前面所述的局限性，把刪除回調(diào)、恢復(fù)hook這樣常見的殺毒手段放在這是


沒有必要的。
另外，由于PowerTool對ZeroAccess的hook檢測并不全面，包括前面所述的存儲棧設(shè)備擴(kuò)展劫持（如下


XueTr提示）默認(rèn)都沒有檢測，不能作為PowerTool通用清理方法。
? ? ? ? ?
? ? ? ? ?4、對進(jìn)程的枚舉和顯示。 ? ? ?
? ? ? ?由截圖看，PowerTool將進(jìn)程2571670320:3480008550.exe本身模塊顯示為隱藏。實際上該模塊并


不存在隱藏，使用其它Ring3工具都能正常枚舉出模塊，除了讀取文件本身可能存在困難。


? ? ? ? ?5、對進(jìn)程文件的刪除。
? ? ? ?教程中并沒有提到3480008550.exe對應(yīng)進(jìn)程的結(jié)束以及該文件的刪除。
? ? ? ?實際使用PowerTool刪除3480008550.exe這一文件后，再次刷新進(jìn)程管理，會將該進(jìn)程路徑名顯


示為C:。
? ? ? ? ?
? ? ? ?此時使用結(jié)束進(jìn)程并刪除文件功能，PowerTool會將該路徑傳入，刪除整個C盤時自然導(dǎo)致系統(tǒng)死


鎖或者藍(lán)屏崩潰，影響系統(tǒng)安全性。
? ? ? ?一個典型的崩潰dump如下，這里PowerTool附加到explorer.exe關(guān)閉了不該關(guān)的句柄：
*******************************************************************************
* ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??


? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? *
* ? ? ? ? ? ? ? ? ? ? ? ?Bugcheck Analysis ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?


? ? ? ? ? ? ? ? ? ? ? ? ? *
* ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??


? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?*
*******************************************************************************


INVALID_KERNEL_HANDLE (93)
This message occurs if kernel code (server, redirector, other driver, etc.)
attempts to close a handle that is not a valid handle.
Arguments:
Arg1: 00000208, The handle that NtClose was called with.
Arg2: 00000001, means an invalid handle was closed.
Arg3: 00000000
Arg4: 00000000


PROCESS_NAME: ?explorer.exe
STACK_TEXT: ?
f088900c 804f9df9 00000003 f0889368 00000000 nt!RtlpBreakWithStatusInstruction
f0889058 804fa9e4 00000003 e186e008 81529af0 nt!KiBugCheckDebugBreak+0x19
f0889438 804faf33 00000093 00000208 00000001 nt!KeBugCheck2+0x574
f0889458 805bd4bd 00000093 00000208 00000001 nt!KeBugCheckEx+0x1b
f088949c 805bd509 00000208 00000000 00000000 nt!ObpCloseHandle+0x173
f08894b0 8054261c 00000208 f088957c 80500f31 nt!NtClose+0x1d
f08894b0 80500f31 00000208 f088957c 80500f31 nt!KiFastCallEntry+0xfc
f088952c f069f208 00000208 0100001e 813978f0 nt!ZwClose+0x11
WARNING: Stack unwind information not available. Following frames may be wrong.
f088957c f06b0a09 8158a378 f0889a80 00e37b61 kEvP+0x5208
f0889abc f06ba16f 8148e778 81677378 00e37d9d kEvP+0x16a09
f0889c40 804f018f 8148e778 81677378 806e7410 kEvP+0x2016f
f0889c50 80580982 816773e8 8162c7a0 81677378 nt!IopfCallDriver+0x31
f0889c64 805817f7 8148e778 81677378 8162c7a0 nt!IopSynchronousServiceTail+0x70
f0889d00 8057a274 000000d4 00000000 00000000 nt!IopXxxControlFile+0x5c5
f0889d34 8054261c 000000d4 00000000 00000000 nt!NtDeviceIoControlFile+0x2a
f0889d34 7c92e4f4 000000d4 00000000 00000000 nt!KiFastCallEntry+0xfc
00129360 00000000 00000000 00000000 00000000 ntdll!KiFastSystemCallRet
FOLLOWUP_IP:?
kEvP+5208
f069f208 8b4508 ? ? ? ? ?mov ? ? eax,dword ptr [ebp+8]


? ? ? ?6、“跟蹤硬盤讀寫過程”的不全面
? ? ? ? ZeroAccess會對DR0設(shè)備的設(shè)備擴(kuò)展進(jìn)行修改，這種方式繞過了常規(guī)的hook檢測。PowerTool最


新版的檢測MBR功能會受此影響，導(dǎo)致顯示“無法讀取MBR信息（內(nèi)核）”。
? ? ? ? ? ?
? ? ? ?教程分析中提到了通過“跟蹤硬盤讀寫過程”檢測可能更改。“跟蹤硬盤讀寫過程”類似avast


出品aswMBR工具的Disk IO Trace功能。PowerTool另可以通過這一功能恢復(fù)上面的劫持。不過這一功能


仍然存在問題，無法突出高亮顯示ZeroAccess的另一處hook，正是該處hook導(dǎo)致了之前PowerTool最新仍


然可能觸發(fā)ZeroAccess自保。
? ? ? ? ? ?


? ? ? ?7、總結(jié)
? ? ? ? 《20秒檢測并清除ZeroAccess/ADS流病毒By PowerTool》一文，其中的分析、給出的方法和實


際配合PowerTool清理ZeroAccess的效果都存在不少問題，甚至是安全隱患。這里提出其中一些問題，供


大家參考，希望對手工清除ZeroAccess有所幫助。
========

總結(jié)

以上是生活随笔為你收集整理的powertool 使用学习总结的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。