太厉害了,就不玩了.从壳的代码看和RLPACK有些关系.

30多人看，只有一个回复,大家给点头绪吧.

用OD跟踪发现代码很简单的，但有句话叫越是简单的背后越复杂!

咔吧已经报了:

上传的附件：

• 未命名.jpg （0.00kb，146次下载）

还是K8厉害

所有杀毒软件都不能查杀

还以为多了不起呢, 一下载小红伞就报

上传的附件：

• SpxImage.jpg （0.00kb，145次下载）
• 2.JPG （0.00kb，143次下载）

虚拟机里面简单看了一下

00409A87    61                popad
00409A88    E9 607CFFFF       jmp 004016ED
//跳OEP
00409A8D    61                popad
00409A8E    C3                retn

004016ED    6A 00             push 0
004016EF    E8 80000000       call 00401774                    ; jmp to kernel32.GetModuleHandleA
//OEP
004016F4    A3 F0304000       mov dword ptr ds:[4030F0],eax
004016F9    E8 CBF9FFFF       call 004010C9
004016FE    68 00010000       push 100
00401703    68 F4304000       push 4030F4
00401708    68 2B134000       push 40132B                      ; ASCII "%SystemRoot%\System32\Userinit.exe"
0040170D    E8 50000000       call 00401762                    ; jmp to kernel32.ExpandEnvironmentStringsA
00401712    68 F4304000       push 4030F4
00401717    E8 32FCFFFF       call 0040134E
0040171C    0BC0              or eax,eax
0040171E    75 0C             jnz short 0040172C
00401720    68 E7304000       push 4030E7
00401725    E8 68000000       call 00401792                    ; jmp to kernel32.OutputDebugStringA
0040172A    EB 06             jmp short 00401732
0040172C    50                push eax
0040172D    E8 60000000       call 00401792                    ; jmp to kernel32.OutputDebugStringA
00401732    E8 F9F8FFFF       call 00401030
00401737    6A 00             push 0
00401739    E8 1E000000       call 0040175C                    ; jmp to kernel32.ExitProcess

卡巴报的是下载者.
我用瑞星,麦咖啡,NOD32都不报.
看来是做过免杀的.

病毒最终生成了pcihdd.sys文件，然后注册成服务，然后服务讲pcihdd.sys写入到userinit.exe文件中，现在破解到pcihdd.sys中了，但是sys驱动我一窍不通，谁给点头绪吧~
以下是病毒生成的驱动文件的下载地址：
http://www.vupig.com.cn/disk.sys

病毒名稱 :機器狗病毒（硬件驅動級）穿透冰点還原軟件還原卡.
不像是AV 終結者! 可能是本身下載了AV終結者！

經過測試，DF6.0、DF6.1、DF6.2及以前版本均被成功穿透，這是一個木馬下載器，下載器通過名為PCIHDD.SYS驅動文件進行與DF的硬盤控制權的爭奪，並修改userinit.exe文件。實現徹底的隱蔽開機啟動。目前的臨時解決方案：一是封IP，二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys

[ Changes to filesystem ]
   * Creates file C:\WINDOWS\system32\drivers\pcihdd.sys.

[ Changes to registry ]
   * Creates key "HKLM\System\CurrentControlSet\Services\PciHdd".
   * Sets value "ImagePath"="C:\WINDOWS\system32\drivers\pcihdd.sys" in key "HKLM\System\CurrentControlSet\Services\PciHdd".
   * Sets value "DisplayName"="PciHdd" in key "HKLM\System\CurrentControlSet\Services\PciHdd".

[ Process/window information ]
   * Creates service "PciHdd (PciHdd)" as "C:\WINDOWS\system32\drivers\pcihdd.sys".
   * Attempts to access service "PciHdd".

现在病毒动辄就是带驱动 要不就穿透还原卡和软件 真无语

还回写了，回写后再加密，再写另外一个