360检测并隔离原因tr.drop.agent.awk.1有谁知道这是什么啊
1、tr.drop.agent___这是一个明显的木马程序的前缀。按字面意思可以理解为:种植机,代理木马。种植机——本身不会盗号,它专门负责安装可以盗号的木马,使它们可以随机器启动或随某个程序启动;被安装好的木马激活(启动)后就能盗号。
2、病毒通过挂钩ZwEnumerateValueKey来隐藏键值包含有kernelw名称键值,以此来保护自己。钩子保护线程:病毒通过调用PsCreateSystemThread启动一个新的线程,在这个线程中不断循环检测KeServiceDescriptorTable表中自己挂钩的ZwQueryDirectoryFile、ZwEnumerateValueKey的地址是否被改变,如被改变则再次挂接这两个函数。