PowerTool是一款免費的系統(tǒng)分析隙疚，手動殺毒工具姆另。這款內(nèi)核級的手動殺毒輔助工具，能幫助你找出病毒

木馬在你的電腦中動過的手腳鸣戴，并去除病毒設(shè)下的機(jī)關(guān)。目前具備以下功能：系統(tǒng)修復(fù)粘拾、進(jìn)程管理窄锅、內(nèi)

核模塊、內(nèi)核相關(guān)缰雇、鉤子入偷、應(yīng)用層、文件械哟、注冊表疏之、離線分析、啟動項暇咆、系統(tǒng)服務(wù)锋爪、網(wǎng)絡(luò)鏈接、漏洞修

復(fù)等爸业。
PowerTool 的特色在于它能夠獲取較高權(quán)限其骄，從而執(zhí)行一些底層的系統(tǒng)維護(hù)操作，如常用的強(qiáng)制結(jié)束進(jìn)

程沃呢、強(qiáng)制刪除文件年栓、強(qiáng)制編輯注冊表拆挥、強(qiáng)制刪除系統(tǒng)服務(wù)等等薄霜。作為內(nèi)核級手動殺毒輔助工具，

PowerTool 與 PCHunter不相上下纸兔，PowerTool 在某些方面提供的功能還要多些惰瓜，處理速度蠻快。
適用系統(tǒng)環(huán)境：Windows PE / 安全模式 / Windows XP / Windows 2003 Server / Vista / Windows

2008 Server / Windows 7 / Windows 8 / Windows 8.1 / Windows 10 RTM / Windows 10 build 10586

如何使用PowerTool 20秒手動清除鬼影3病毒

“鬼影”系列病毒的共同特點是感染電腦硬盤的主引導(dǎo)記錄（MBR）汉矿，無論重裝系統(tǒng)或是格式化硬盤都無

法清除病毒崎坊。

“鬼影”系列病毒的共同特點是感染電腦硬盤的主引導(dǎo)記錄（MBR），無論重裝系統(tǒng)或是格式化硬盤都無

法清除病毒洲拇。在查殺前兩代“鬼影”時奈揍，不同廠商推出的專殺工具都會首先修復(fù)MBR曲尸，然后再全面掃描清

除病毒殘骸，然而這個方法在查殺“鬼影3”時卻遇到了難題男翰。據(jù)分析另患，“鬼影3”病毒之所以非常頑固

，原因在于它釋放了一個惡意驅(qū)動作為“保鏢”蛾绎，用來禁止任何修復(fù)MBR的操作昆箕。對殺毒軟件來說，不清

除“保鏢”驅(qū)動就無法修復(fù)MBR租冠，不修復(fù)MBR又無法清除“保鏢”驅(qū)動鹏倘，從而陷入“鬼影3”怎么都?xì)⒉桓?/p>

凈的死循環(huán)中。
年初的時候我寫過一篇20秒手殺鬼影的教程顽爹，斗轉(zhuǎn)星移纤泵，病毒的作者精益求精，前段時間镜粤，已更新到鬼

影3代了夕吻。

不過正所謂魔高一尺，道高一丈繁仁，邪還是不能勝正的涉馅，現(xiàn)在也有一些鬼影3的專殺工具了，不過為了知其

所以然黄虱，我寫一下如何用PowerTool的3.8版來手刃鬼影3病毒~~~
PowerTool 頑固文件清除文件下載地址為：www.jb51.net/softs/25378.html
第一步
看一下鬼影3都干了那些壞事稚矿，我們才能夠做到有的放矢

1. 鬼影3的進(jìn)程

2. 鬼影3的文件

3. 鬼影3的流氓快捷方式

4. 鬼影3的網(wǎng)絡(luò)連接

5. 鬼影3在內(nèi)核里面的鉤子

6. 鬼影3在的其他勾當(dāng)

7. 最后也是最重要的也就是鬼影3的MBR

差不多就這些了，知道了它干得勾當(dāng)捻浦，自然就可以清除它了晤揣。
清除步驟：
1.結(jié)束鬼影3的進(jìn)程
2.恢復(fù)隱藏的擴(kuò)展名
3.刪除鬼影3的文件
4.刪除鬼影3的流氓快捷方式
5.恢復(fù)它在內(nèi)核的鉤子(這一步很重要，否則無法恢復(fù)MBR)
6.恢復(fù)成正確的MBR

========

PowerTool手動清除IE自動捆綁hao123一例

http://bbs.kafan.cn/thread-1772662-1-1.html

話說本人很少使用IE瀏覽器朱灿，但最近由于工作中某個ZF網(wǎng)站只支持IE才能正常顯示(奇葩的設(shè)計）昧识，不得

不又使用了一下久違的IE軟件。

打開IE后盗扒，發(fā)現(xiàn)自動打開了hao123頁面跪楞，確切的說是指向了：http://www.hao123.com/?

tn=91055648_hao_pg頁面。

第一反應(yīng)侣灶，進(jìn)入IE設(shè)置甸祭，首頁清空，重啟瀏覽器褥影，還是這樣池户，繼續(xù)搜索注冊表，果然找到幾個“hao123"

的鍵值，刪除之校焦，哈哈赊抖，簡單，重啟~

回來_{嗯寨典？怎么還是沒用熏迹？再次搜索注冊表，并未發(fā)現(xiàn)流氓的蹤跡凝赛，MUMM}~注暗，

第二反應(yīng)，右鍵IE快捷方式墓猎，啊哈捆昏，果然，快捷方式直接添加了流氓軟件的地址毙沾。刪除之~骗卜，重運行，還

是不行左胞，刪除它寇仓，嗯？顯示不具備管理員權(quán)限烤宙？啥意思遍烦？這有些木馬的感覺啊~~~，重啟躺枕，F(xiàn)8服猪，安全模式

刪除，哈哈拐云，成功罢猪，小樣~~~~~

再回來~~~，嗯叉瘩？膳帕？？還在薇缅？看來有模塊監(jiān)視危彩，自動創(chuàng)建，咋辦捅暴？上網(wǎng)恬砂，度了一圈咧纠，也沒辦法蓬痒，卡飯一頓

，都是求助漆羔，要不就是重裝系統(tǒng)梧奢！這么煩狱掂？！亲轨！

咱是干啥的趋惨？折騰唄~~~

殺毒~~~~，沒用

查看啟動項~~~~惦蚊，沒啥

查看進(jìn)程~~~~器虾，正常

Mummm~~~~~

突然想起了好久沒用的PowerTool,Win7下還沒用過呢，試試蹦锋，先吹吹灰先~~~

打開兆沙，流氓快捷方式——無，（識別不出莉掂？）葛圃，進(jìn)程管理，有紅色的一個個看........憎妙，在

Explorer.exe中库正，發(fā)現(xiàn)了線程:路徑:/bangdun/product.dll,這是啥？摘除之厘唾，explorer重啟褥符，還在！還

有鉤子抚垃？

繼續(xù)找属瓣，鉤子，內(nèi)核入口讯柔，啊_{又發(fā)現(xiàn)了這個玩意抡蛙，摘除鉤子}

再次刪除一下快捷方式看看，成功啦魂迄，看來就是這東西:Bangdun!啥玩意粗截？找到該文件目錄刪除，系統(tǒng)注

冊表里尋找bangdun并清理捣炬。

重啟~~~~~~哈熊昌！快捷方式不再生成了，小樣湿酸，就是一流氓軟件婿屹。

（該過程有幾天時間了，所以本文中的細(xì)節(jié)可能記得不是很完整了推溃，今天上網(wǎng)看看昂利，很多人都在問怎么

清理hao123，我這也算是一個思路吧如贷，大家看看议谷，殺毒記得舉一反三身害。 ）

使用PowerTool快速清除鬼影病毒

http://www.cr173.com/html/11038_1.html

鬼影病毒讓人很惱火卧檐，重做系統(tǒng)都沒有用庄萎，當(dāng)然現(xiàn)在已經(jīng)有很多鬼影專殺工具了菊值，不過MBR病毒不只限于

鬼影焰盗，以后遇到了類似的也可以用PowerTool清除

第一步衩婚，先查看MBR是否有異常祖屏，如果有紅色的項目助赞，就說明MBR已經(jīng)被病毒篡改了

（PT會自動確認(rèn)是否有惡意代碼和MBR代碼是否被隱藏，然后顯示紅色）

第二步就是點擊自動修復(fù)來修復(fù)了：

到此為止袁勺，確認(rèn)加上恢復(fù)大概是10秒鐘吧

接下來清除鬼影留下的流氓廣告和快捷方式

（普通的刪除方法很煩瑣嫉拐，PT只需一步就可刪除）

點擊修復(fù)即可，大概耗時5秒

最后魁兼，刪除鬼影遺留下來的驅(qū)動文件

也差不多5秒婉徘，

最后系統(tǒng)重啟即可，就可以恢復(fù)成干凈的系統(tǒng)了

鬼影其實還只是一個入門級別的Bootkit咐汞，以后變種可能會強(qiáng)一些吧

PowerTool還可以對抗隱藏MBR代碼的MBR Rootkit盖呼，

如果還無法對抗，

在dos底下修復(fù)MBR最徹底了

重置：

fdisk /mbr

fixmbr(windows恢復(fù)控制臺)

gdisk disk /mbr化撕。

使用PowerTool輕松檢測魔影病毒（TDSS.TDL-4）

http://www.cr173.com/html/12812_1.html

就不過多重復(fù)了几晤，為了保護(hù)自己的篡改的MBR，可謂是用盡可手段植阴，

PowerTool可以在不恢復(fù)和修改TDL-4任何鉤子的情況下蟹瘾，
直接穿透它的防護(hù)，檢測到TDL-4 rootkit

首先掠手，有兩個地方憾朴，大家可能以前就知道了，
一個是工作列線程

一個是StartIO的鉤子

這個以前版本的PowerTool就可以檢測到
這次加強(qiáng)了內(nèi)核模塊的檢測喷鸽，可以看到TDL-4的隱藏驅(qū)動

TDL-4還劫持了ATAPI的設(shè)備

如果以上众雷，大家還不能確認(rèn)是否是真的中了TDL-4病毒的話
最后一個，可以徹底讓它露出真面目做祝，

在MBR里面點擊強(qiáng)力檢測按鈕(目前不支持AHCI/RAID/SCSI模式)
可以完全穿透TDL-4的防護(hù)砾省，檢測到MBR

清除的話，建議大家可以用卡巴或者BitDefender的專殺工具
也可以到PE系統(tǒng)里面混槐，修復(fù)MBR來清除

以后PT會進(jìn)一步加強(qiáng)清楚的工作编兄，呵呵

找下PowerTool 0.40最新版的茬 (1)

http://bbs.kafan.cn/thread-1052303-1-1.html

剛看到PowerTool 0.40出正式版了，隨便找了一個測試環(huán)境看了下它的一些功能声登。

下面是0.40新增或改進(jìn)項目的一點問題狠鸳。
1揣苏、PT新版新增了調(diào)試寄存器的檢測，但是由于對調(diào)試寄存器了解不夠深入碰煌，有一些錯誤舒岸。
本來準(zhǔn)備拿一些比較特殊的改寫調(diào)試寄存器來測試绅作，但是一看顯示界面芦圾，大囧。

最新版誤將幾個DRX調(diào)試寄存器的名字寫作CRX（正確的名字應(yīng)該是DR0---DR7）俄认，作者對調(diào)試寄存器的了

解還得加深个少。
PT遇到某個調(diào)試寄存器的值非零就提示該處可能被hook，實際上某些還原軟件也可能對它做手腳眯杏，但并

不是hook夜焦。
另外，只檢測幾個DRX的值岂贩，而沒有檢測相應(yīng)的一些重要標(biāo)志位茫经，更不說一些組合方式利用調(diào)試寄存器了

。

2萎津、PT新版加入了內(nèi)核入口點的檢測卸伞，但是由于對syscall（系統(tǒng)調(diào)用）機(jī)制的不熟悉，會導(dǎo)致正常系統(tǒng)

出現(xiàn)一些誤報或者漏報锉屈。
PT不支持2000系統(tǒng)荤傲，就似乎默認(rèn)了syscall只是某一種，只顯示KiFastCallEntry的地址颈渊。
而事實上遂黍，即使在Win 7環(huán)境下，三種syscall入口都是可能的俊嗽。
這里由于PT直接將KiFastCallEntry固定為內(nèi)核入口點雾家，導(dǎo)致檢測不了hook。
另外绍豁，由此也導(dǎo)致PT的內(nèi)核入口點檢測讀取錯誤的榜贴、不起作用的“入口”地址，通過交叉分析妹田，可能得

出存在hook的結(jié)論唬党。

3、PT新版修正了之前版本將MBR啟動代碼的16位匯編解析為32位匯編的問題鬼佣。
不考慮重定位驶拱，顯示時，PT將啟動地址標(biāo)為00000002晶衷，而不是00000000蓝纲，總感覺怪怪的阴孟。

4、PT新版加入了woodmann論壇Kayaker的代碼税迷，實現(xiàn)在Win7快速遍歷指定內(nèi)核區(qū)域永丝。
http://www.woodmann.com/forum/en ... s-space-in-Windows7
不過Kayaker的代碼只是demo性質(zhì)的，存在一些問題箭养，比如最基本的校驗慕嚷，可能導(dǎo)致崩潰。

5毕泌、PT新版改進(jìn)了網(wǎng)絡(luò)連接的顯示喝检，本想測試解析IP庫是否存在問題，結(jié)果測試中出現(xiàn)了藍(lán)屏撼泛，所以順便

看了下網(wǎng)絡(luò)連接的枚舉挠说。
Win7下的枚舉，PT使用了debugman的《WIN7下向NSI取TCP UDP信息》提供的代碼愿题。
http://www.debugman.com/discussi ... 4%BF%A1%E6%81%AF/p1
可惜原帖給出的代碼本身存在一些問題损俭，比如分配釋放pool的邏輯存在問題，可能導(dǎo)致藍(lán)屏潘酗。
一個典型的下PT在Win7枚舉網(wǎng)絡(luò)連接導(dǎo)致藍(lán)屏?xí)r的椄吮回溯如下：

945a7464 81c57b92 00000003 1a501172 00000000 nt!RtlpBreakWithStatusInstruction
945a74b4 81c58673 00000003 945a7940 000001ff nt!KiBugCheckDebugBreak+0x1c
945a7878 81dc91d9 000000c2 00000006 0000108e nt!KeBugCheck2+0x6a1
945a78ec 88c1bc15 945a7948 00000000 8cb300b8 nt!ExFreePoolWithTag+0x129
WARNING: Stack unwind information not available. Following frames may be wrong.
945a79a8 88c2d635 945a7a5c 945a7a50 878b3030 kEvP+0x3c15
945a7a6c 88c37dbd 878b3030 8cb300b8 0000f428 kEvP+0x15635
945a7bec 81c4311a 878b3030 8cb300b8 00000000 kEvP+0x1fdbd
945a7c0c 82118a40 8cb300b8 8cb30128 923aff38 nt!IofCallDriver+0x7e
945a7c2c 82119bd6 878b3030 923aff38 00000000 nt!IopSynchronousServiceTail+0x258
945a7cc8 82120332 00000178 8cb300b8 00000000 nt!IopXxxControlFile+0x740
945a7d04 81da8173 00000178 00000000 00000000 nt!NtDeviceIoControlFile+0x4c
945a7d04 7702a364 00000178 00000000 00000000 nt!KiFastCallEntry+0x163
001f8878 77000844 74f8e074 00000178 00000000 ntdll!KiFastSystemCallRet
001f887c 74f8e074 00000178 00000000 00000000 ntdll!NtDeviceIoControlFile+0xc
001f88dc 75c01830 00000178 002221c4 00000000 KERNELBASE!DeviceIoControl+0xee
001f8908 013e6762 00000178 002221c4 00000000 kernel32!DeviceIoControlImplementation+0x80
001ff260 00000000 00000000 00000000 00000000 PowerTool+0xa6762
404 Not Found

今天寫到這里，明天開放崎脉。
Anti-rootkit如某些大牛說的拧咳，現(xiàn)在越來越多人在寫了，門檻也越來越低了囚灼。但是要寫出一個優(yōu)秀的ark

骆膝，不僅僅靠得是模仿和不仔細(xì)分析就增加功能，需要對系統(tǒng)機(jī)制的深入理解灶体，需要作者的思考阅签。
有感于一直以來很多人對ark的誤解（當(dāng)然，不是后面PT作者所想的）和前段時間PowerTool交流群某些

人對XueTr作者的人身攻擊蝎抽，主要給出了PT這次5處更新對應(yīng)項目的一些問題政钟，作為一點回應(yīng)。

一點說明：
1樟结、調(diào)試寄存器养交，顧名思義，這里指P3 x86下用于擴(kuò)展CPU調(diào)試機(jī)制的Drx寄存器瓢宦。
調(diào)試器可直接利用它實現(xiàn)硬件斷點（這里是內(nèi)核調(diào)試器）碎连，rootkit等可以通過設(shè)置調(diào)試寄存器，可以對

指定地址的讀取驮履、寫入鱼辙、執(zhí)行進(jìn)行控制廉嚼，達(dá)到隱藏目的。
這里PT檢測的是全局的Drx寄存器倒戏，并不是用戶態(tài)的per thread context下的drx怠噪。

舉幾個實例：
1、一些反外{過}{濾}掛驅(qū)動會修改調(diào)試寄存器杜跷，達(dá)到阻止hook被恢復(fù)等目的傍念。
2、360還原保護(hù)器會對IO端口下硬件斷點葱椭，攔截直接IO方式的穿還原捂寿。
3口四、一些反外{過}{濾}掛驅(qū)動及微點主防驅(qū)動恢復(fù)hook前會清零調(diào)試寄存器孵运，減少受干擾可能。

2蔓彩、內(nèi)核入口點治笨。
這里內(nèi)核入口點不夠明確，就PT檢測項目而言指的是系統(tǒng)調(diào)用的內(nèi)核入口點赤嚼。
wiki:系統(tǒng)調(diào)用指程序向操作系統(tǒng)內(nèi)核請求需要更高權(quán)限運行的服務(wù)旷赖，它提供了用戶程序與操作系統(tǒng)之間

的接口。
Windows NT下系統(tǒng)調(diào)用對應(yīng)的服務(wù)函數(shù)一般指的是SSDT和Shadow SSDT兩張表內(nèi)的函數(shù)更卒，很多驅(qū)動會通過

替換這些表內(nèi)的函數(shù)或者改寫函數(shù)內(nèi)部代碼等方法實現(xiàn)hook等孵，做一些攔截、隱藏等動作蹂空。
而由用戶態(tài)發(fā)起請求到分發(fā)服務(wù)函數(shù)有一個過程俯萌，由于SSDT和Shadow SSDT相對明顯，可以通過對從用戶

態(tài)發(fā)起請求到分發(fā)服務(wù)函數(shù)中間過程的代碼進(jìn)行改寫上枕，來實現(xiàn)相對隱蔽的hook咐熙。
PT準(zhǔn)備檢測的是便是這部分hook。

簡單來說辨萍，PT作者對系統(tǒng)機(jī)制的理解不全面棋恼，很多地方?jīng)]有考慮周全，導(dǎo)致漏檢測(比如內(nèi)核入口點只檢

測了一個）
不過將調(diào)試寄存器名稱寫錯有點囧了

Anti-rootkit如某些大牛說的锈玉，現(xiàn)在越來越多人在寫了爪飘，門檻也越來越低了。但是要 ...

CRX的名字確實寫錯了拉背。师崎。。不過沒什么大礙
重要標(biāo)志位可以自己分析DR7去团，
不過打算在下個版本抡诞，詳細(xì)列出來

入口點監(jiān)測穷蛹，可能沒檢測全，以后的版本繼續(xù)加強(qiáng)了昼汗。肴熏。。

后面幾個問題顷窒，我也再檢查一下蛙吏，

PT確實還算不上優(yōu)秀，只能繼續(xù)改進(jìn)鞋吉，
如果只是進(jìn)程線程文件鸦做，確實很多人都可以做，
不過dl牛好像把PT歸于這一類了谓着。泼诱。。

而且ARK也不可能全部都考慮到赊锚，
即使是XT也有考慮不到的地方治筒，枚舉不到的模塊吧？
PT已經(jīng)加了很多自己的東西舷蒲，也不能單純的說是模仿了吧

群里面有人攻擊XT嗎耸袜？會不會是dl牛過于敏感了
有人習(xí)慣用PT，有人習(xí)慣用XT牲平，不可能讓大家都統(tǒng)一的標(biāo)準(zhǔn)啊堤框。。纵柿。
更多的人應(yīng)該是兩個都在用吧蜈抓。。藐窄。

不管怎么說XT在linxer牛和dl牛的努力下资昧，
的確是第一流和最優(yōu)秀的ARK，但是對用戶的要求也很高

而我則努力結(jié)合用戶的反饋加上自己的想法荆忍。
做一個簡單易懂的工具格带，即使不把PT算作ARK，
能在大多數(shù)情況下解決病毒就可以了刹枉，呵呵
========

找下PowerTool的茬 (2)——使用PT 20秒檢測并清除ZeroAccess的不可行性

http://bbs.kafan.cn/thread-1061080-1-1.html

ZeroAccess rootkit是最近討論得比較多的一種惡意軟件叽唱。它又名max++，ZAccess微宝，得名于rootkit

文件內(nèi)調(diào)試信息中的作者命名棺亭。它最早于大半年前在國外一些反病毒論壇和技術(shù)博客被討論，近半年前

在劍盟的一個關(guān)于清理InstallAntiVirus2010的討論帖里蟋软，ZeroAccess首次在國內(nèi)被關(guān)注镶摘，那時它已加

入了針對檢測工具的反制措施嗽桩。幾個月后，卡巴凄敢、Prex碌冶、安博士、SurfRight等廠商對該rootkit進(jìn)行了

公開報道涝缝。
ZeroAccess rootkit使用了許多技術(shù)實現(xiàn)隱藏和反檢測扑庞，包括驅(qū)動reload and run、虛擬盤拒逮、NTFS

文件壓縮罐氨、存儲棧設(shè)備擴(kuò)展劫持、文件緩存欺騙滩援、直接操作FCB栅隐、引誘檢測、高級自我保護(hù)等狠怨。
看到PowerTool作者在博客發(fā)布了名為《20秒檢測并清除ZeroAccess/ADS流病毒By PowerTool》的博

文约啊，提出了清理該rootkit的簡便方便邑遏。不過由于作者并未仔細(xì)分析該rootkit佣赖，導(dǎo)致該教程和PowerTool

清理過程中出現(xiàn)很多問題，甚至是安全隱患记盒。結(jié)合自己對清理ZeroAccess的體會憎蛤，對其中的不少細(xì)節(jié)提

出一些質(zhì)疑。
這里對清理教程發(fā)現(xiàn)的問題做一些探討纪吮。

  1俩檬、對ZeroAccess自我保護(hù)規(guī)避的不徹底。
  PowerTool最新版驅(qū)動會在每次分發(fā)時恢復(fù)ZeroAccess新版對IoIsOperationSynchronous函數(shù)的

hook碾盟，以此來防止訪問ZeroAccess的ADS流文件時由于未通過rootkit驗證被結(jié)束進(jìn)程并清除文件權(quán)限棚辽。
可惜的是，PowerTool這樣做并不能完全規(guī)避ZeroAccess的自我保護(hù)冰肴，最新版在很多情況下仍然會

出現(xiàn)觸發(fā)ZeroAccess導(dǎo)致無法正常使用屈藐。
試舉一例：
PowerTool在啟動時會檢測硬盤，可能會發(fā)送SMART_RCV_DRIVE_DATA的I/O控制碼獲取硬盤信息熙尉。

這一動作會被ZeroAccess在Ata/Scsi/Storport等設(shè)備棧最底層微端口設(shè)備驅(qū)動的hook截獲联逻，然后

PowerTool會被無情的結(jié)束進(jìn)程并且文件被清除權(quán)限。
如下所示检痰，PowerTool的訪問被ZeroAccess的hook截獲包归，PowerTool.exe文件被清除了權(quán)限。
1:kd> p
8154fa2e ff156c945581 call dword ptr ds:[8155946Ch] ds:0023:8155946c={nt!

ZwSetSecurityObject (80501fb0)}
1: kd> !handle @ecx
Image: PowerTool.exe
Object: 8137ba48 Type: (819edad0) File
Directory Object: 00000000 Name: \Documents and Settings\Administrator\桌面

\PowerToolV4.0.2\PowerTool.exe {HarddiskVolume1}
1: kd> lmvm PowerTool
Image path: C:\Documents and Settings\Administrator\桌面\PowerToolV4.0.2\PowerTool.exe
Image name: PowerTool.exe
Timestamp: Thu Sep 01 23:22:51 2011 (4E5FA34B)
ImageSize: 0065F000
2铅歼、教程針對ZeroAccess版本的局限導(dǎo)致清除無效的可能性
教程提出20秒修復(fù)ZeroAccess公壤，最后提出的3步换可，即恢復(fù)hook、清除關(guān)機(jī)回調(diào)和修復(fù)感染文件在很

多情況下是無法清除ZeroAccess感染文件的厦幅。
教程對應(yīng)的ZeroAccess版本锦担，是一個多星期前的，并沒有考慮再這之前以及最新的版本慨削。最近的

版本洞渔，ZeroAccess自建的微型文件系統(tǒng)的存儲文件也已轉(zhuǎn)移。

  更重要的是缚态，教程中并沒有提到刪除ADS流文件以及該文件對應(yīng)的服務(wù)（實際上0.40版刪除ADS流

文件存在問題）磁椒，也沒有去嘗試清除ZeroAccess自建的微型文件系統(tǒng)的存儲文件。特別是前者的文件和

服務(wù)配置信息玫芦，不刪除可能導(dǎo)致重啟重新感染浆熔，這點之前的一些教程帖中已有討論。

    3桥帆、教程給出的清理步驟的多余性
  教程提出的三步清理ZeroAccess,除了修復(fù)感染文件医增，其它步驟，單就ZeroAccess系列而言是沒有

意義的老虫。即使不處理叶骨，也不會導(dǎo)致本身清理局限性外的修復(fù)的問題。由于該教程本身針對的是

ZeroAccess的某一版祈匙，且有著前面所述的局限性忽刽，把刪除回調(diào)、恢復(fù)hook這樣常見的殺毒手段放在這是

沒有必要的夺欲。
另外跪帝，由于PowerTool對ZeroAccess的hook檢測并不全面，包括前面所述的存儲棧設(shè)備擴(kuò)展劫持（如下

XueTr提示）默認(rèn)都沒有檢測些阅，不能作為PowerTool通用清理方法伞剑。

     4、對進(jìn)程的枚舉和顯示市埋。      
   由截圖看黎泣，PowerTool將進(jìn)程2571670320:3480008550.exe本身模塊顯示為隱藏。實際上該模塊并

不存在隱藏腰素，使用其它Ring3工具都能正常枚舉出模塊聘裁，除了讀取文件本身可能存在困難。

     5弓千、對進(jìn)程文件的刪除衡便。
   教程中并沒有提到3480008550.exe對應(yīng)進(jìn)程的結(jié)束以及該文件的刪除。
   實際使用PowerTool刪除3480008550.exe這一文件后，再次刷新進(jìn)程管理镣陕，會將該進(jìn)程路徑名顯

示為C:谴餐。

   此時使用結(jié)束進(jìn)程并刪除文件功能，PowerTool會將該路徑傳入呆抑，刪除整個C盤時自然導(dǎo)致系統(tǒng)死

鎖或者藍(lán)屏崩潰岂嗓，影響系統(tǒng)安全性。
一個典型的崩潰dump如下鹊碍，這里PowerTool附加到explorer.exe關(guān)閉了不該關(guān)的句柄：

•                           *
  

•                    Bugcheck Analysis                                                  
  
                      *
  

•                            *
  

INVALID_KERNEL_HANDLE (93)
This message occurs if kernel code (server, redirector, other driver, etc.)
attempts to close a handle that is not a valid handle.
Arguments:
Arg1: 00000208, The handle that NtClose was called with.
Arg2: 00000001, means an invalid handle was closed.
Arg3: 00000000
Arg4: 00000000

PROCESS_NAME: explorer.exe
STACK_TEXT:
f088900c 804f9df9 00000003 f0889368 00000000 nt!RtlpBreakWithStatusInstruction
f0889058 804fa9e4 00000003 e186e008 81529af0 nt!KiBugCheckDebugBreak+0x19
f0889438 804faf33 00000093 00000208 00000001 nt!KeBugCheck2+0x574
f0889458 805bd4bd 00000093 00000208 00000001 nt!KeBugCheckEx+0x1b
f088949c 805bd509 00000208 00000000 00000000 nt!ObpCloseHandle+0x173
f08894b0 8054261c 00000208 f088957c 80500f31 nt!NtClose+0x1d
f08894b0 80500f31 00000208 f088957c 80500f31 nt!KiFastCallEntry+0xfc
f088952c f069f208 00000208 0100001e 813978f0 nt!ZwClose+0x11
WARNING: Stack unwind information not available. Following frames may be wrong.
f088957c f06b0a09 8158a378 f0889a80 00e37b61 kEvP+0x5208
f0889abc f06ba16f 8148e778 81677378 00e37d9d kEvP+0x16a09
f0889c40 804f018f 8148e778 81677378 806e7410 kEvP+0x2016f
f0889c50 80580982 816773e8 8162c7a0 81677378 nt!IopfCallDriver+0x31
f0889c64 805817f7 8148e778 81677378 8162c7a0 nt!IopSynchronousServiceTail+0x70
f0889d00 8057a274 000000d4 00000000 00000000 nt!IopXxxControlFile+0x5c5
f0889d34 8054261c 000000d4 00000000 00000000 nt!NtDeviceIoControlFile+0x2a
f0889d34 7c92e4f4 000000d4 00000000 00000000 nt!KiFastCallEntry+0xfc
00129360 00000000 00000000 00000000 00000000 ntdll!KiFastSystemCallRet
FOLLOWUP_IP:
kEvP+5208
f069f208 8b4508 mov eax,dword ptr [ebp+8]

   6厌殉、“跟蹤硬盤讀寫過程”的不全面
    ZeroAccess會對DR0設(shè)備的設(shè)備擴(kuò)展進(jìn)行修改，這種方式繞過了常規(guī)的hook檢測侈咕。PowerTool最

新版的檢測MBR功能會受此影響公罕，導(dǎo)致顯示“無法讀取MBR信息（內(nèi)核）”。

   教程分析中提到了通過“跟蹤硬盤讀寫過程”檢測可能更改耀销÷ゾ欤“跟蹤硬盤讀寫過程”類似avast

出品aswMBR工具的Disk IO Trace功能。PowerTool另可以通過這一功能恢復(fù)上面的劫持熊尉。不過這一功能

仍然存在問題罐柳，無法突出高亮顯示ZeroAccess的另一處hook，正是該處hook導(dǎo)致了之前PowerTool最新仍

然可能觸發(fā)ZeroAccess自保狰住。

   7张吉、總結(jié)
    《20秒檢測并清除ZeroAccess/ADS流病毒By PowerTool》一文，其中的分析转晰、給出的方法和實

際配合PowerTool清理ZeroAccess的效果都存在不少問題芦拿，甚至是安全隱患。這里提出其中一些問題查邢，供

大家參考，希望對手工清除ZeroAccess有所幫助酵幕。