ntrybw的博客

C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 netscan。hushdump -y(注册表 system的virtual地址）-s（SAM的virtual值）此命令能获取密码的hash值，但是我个感觉没什么用，不如直接hashdump。netscan链接协议，本地地址，链接状态，，监听端口。

此题其实考验对rootkit病毒的熟知程度，通常情况下rootkit病毒在windows系统中最喜欢干的事就是通过svchost进程进行捆绑，因为svchost是系统守护程序，是不能通过常规手段停止的，那么任何与之关联的程序也都没有办法通过常规杀软去清除，因为svchost启动等级高于常规杀软，所以若是想清除与svchost捆绑的程序，需要进入到系统安全模式下，并使用最小化启动，然后找到svchost注册表项清除对应捆绑关系再删掉木马就行了。相差8小时，我不知道有什么区别，从utc来看都是一样的。