close
ntsd.exe是Windows 2000以上的系統內建的除錯工具(debugger),因為最近讀了xfocus上面利用ntsd.exe來找出bufferover在記憶體中的return address而對這個東西產生興趣(以往都是用反組譯來尋找),回到正題,許多病毒往往都會以系統權限執行,造成即使我們發現這個病毒也無法利用工作管理員停止這個執行緒,所以,我們必須重開機進入安全模式來清除這個病毒,現在,ntsd.exe提供了我們一個新的選擇。
首先到工作管理員的處理程序中,找到該病毒的PID,如果你的工作管理員不顯示PID的話,麻煩到檢視那邊選擇一下欄位,把PID那欄勾起來,接著到命令提示字元下面,打上"ntsd -c q -p PID",PID指的就是那個病毒執行檔的PID,比如說該病毒的PID是123,則你的指令就是ntsd -c q -p 123,按下ENTER後系統就會強迫將該執行緒停止,要注意的是很多病毒會把名字取得跟系統程序很像,可能是大小寫有差或者差一個字之類的,要停止之前要注意那個是不是系統程序,當你把該程序停掉之後,就直接到那個病毒所在的資料夾把那個執行檔給殺掉,這是不是比以往我們要重開機進入安全模式要來的快呢?
此外,另外一個方法是用taskkill,一樣在命令提示字元下面打上"taskkill /im aaa",aaa是執行檔名稱,比如說我要殺掉firefox.exe,我就可以打上taskkill /im firefox.exe,不過我覺得這個比較不保險,且這個方法僅限於XP使用,因此,ntsd.exe還是比較好用。
如果對如何用ntsd來尋找溢位的return address有興趣的話可以參考下列文章:
CCProxy 6.2溢出學習筆記
這篇是目前看到緩衝區溢位攻擊教學中比較詳細跟簡單的一篇
首先到工作管理員的處理程序中,找到該病毒的PID,如果你的工作管理員不顯示PID的話,麻煩到檢視那邊選擇一下欄位,把PID那欄勾起來,接著到命令提示字元下面,打上"ntsd -c q -p PID",PID指的就是那個病毒執行檔的PID,比如說該病毒的PID是123,則你的指令就是ntsd -c q -p 123,按下ENTER後系統就會強迫將該執行緒停止,要注意的是很多病毒會把名字取得跟系統程序很像,可能是大小寫有差或者差一個字之類的,要停止之前要注意那個是不是系統程序,當你把該程序停掉之後,就直接到那個病毒所在的資料夾把那個執行檔給殺掉,這是不是比以往我們要重開機進入安全模式要來的快呢?
此外,另外一個方法是用taskkill,一樣在命令提示字元下面打上"taskkill /im aaa",aaa是執行檔名稱,比如說我要殺掉firefox.exe,我就可以打上taskkill /im firefox.exe,不過我覺得這個比較不保險,且這個方法僅限於XP使用,因此,ntsd.exe還是比較好用。
如果對如何用ntsd來尋找溢位的return address有興趣的話可以參考下列文章:
CCProxy 6.2溢出學習筆記
這篇是目前看到緩衝區溢位攻擊教學中比較詳細跟簡單的一篇
全站熱搜
留言列表
IT技術 (4)