提前申明:本文只做技术交流,没有其他目的。 分析的是2010-08-17从官方下载的版本。 运行360FileKiller.exe,会释放一个文件名随机的exe,例如FC9638FFCEFC.exe,关闭360FileKiller.exe前FC9638FFCEFC.exe会被删除。可以在360FileKiller.exe关闭前将该文件复制一份,以便分析。点击“粉碎选中文件”后会释放%SystemRoot%system32\drivers\360IceBreaker.sys,该驱动被加载后立即被删除。为了捕获该驱动文件,可以在DeleteFileA上下断即可。 分析的比较全面,附件中是IDA5.2 的idb。由于时间仓促,错误之处在所难免,欢迎拍砖
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)