新人报道,第一次完整分析一个病毒,样本来自看雪很早的一个帖子,http://bbs.pediy.com/showthread.php?t=149780&highlight=sysanti,应该是机器狗的一个变种,自己逆了下,编译通过,然后也改了几个地方: 1、原来的获取atapi.sys的底层设备对象改为获取Disk.sys,因为在逆的过程中发现自己XP虚拟机atapi.sys设备对象链没有DeviceType=7的设备对象 2、把原来的一些反调试代码去掉了 总的来说逆这个样本还是学到了不少东西,比如直接构建IRP,获取系统和文件各种信息什么的,随附件附上逆向过程中找到的各种资料
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
为什么让我想起机械狗
