4199专杀工具下载
4199专杀工具使用方法
- 使用4199专杀工具进行查杀
- 查杀完毕后重启计算机
- 再用360安全卫士查杀一次
- 【4199简介】
1.域名劫持,当访问一些安全站点时将自动跳转到一个仿hao123的页面
2.自动保护,常规方法无法彻底删除
3.隐藏启动
【4199具体分析】
1.自动保护
(1)Boot Extender加载,使用原生ZwXXXXKey函数操作注册表,检测自己的服务项是否被删除,如果被删除,则暴力重写回去
(2)使用FSD HOOK,保护自己的驱动文件和DLL不被删除
2.隐藏启动
驱动检测到系统启动后即向RunOnce启动项写一个启动项,然后该项目就会被删除,其DLL就无痕迹地加载了,使用任何软件无法检测出其DLL的启动项
3.域名劫持
使用了特殊的手段,通过ZwCreateFile的hook,以及FSD HOOK,当检测到以下进程读取hosts表时,将它们的读写定位到自己的一个hosts文件:
theworld.exe( 世界之窗浏览器)
svchost.exe
services.exe (以上两个是系统的服务以及域名解析进程,可以影响其他的大部分网络访问)
theworldxp.exe (世界之窗浏览器xp)
maxthon.exe (傲游浏览器)
max.exe (同上)
ttraveler.exe (腾讯浏览器)
myie.exe (MyIE浏览器)
greenbrowser.exe (绿色浏览器)
firefox.exe (火狐浏览器)
