能力值:
( LV2,RANK:10 )
2 楼
能力值:
( LV2,RANK:10 )
3 楼
30多人看,只有一个回复,大家给点头绪吧.
用OD跟踪发现代码很简单的,但有句话叫越是简单的背后越复杂!
能力值:
( LV9,RANK:1250 )
4 楼
咔吧已经报了:
上传的附件:
能力值:
( LV2,RANK:10 )
5 楼
还是K8厉害
能力值:
( LV2,RANK:10 )
6 楼
所有杀毒软件都不能查杀
还以为多了不起呢, 一下载小红伞就报
上传的附件:
能力值:
( LV9,RANK:3410 )
7 楼
虚拟机里面简单看了一下
00409A87 61 popad
00409A88 E9 607CFFFF jmp 004016ED
//跳OEP
00409A8D 61 popad
00409A8E C3 retn
004016ED 6A 00 push 0
004016EF E8 80000000 call 00401774 ; jmp to kernel32.GetModuleHandleA
//OEP
004016F4 A3 F0304000 mov dword ptr ds:[4030F0],eax
004016F9 E8 CBF9FFFF call 004010C9
004016FE 68 00010000 push 100
00401703 68 F4304000 push 4030F4
00401708 68 2B134000 push 40132B ; ASCII "%SystemRoot%\System32\Userinit.exe"
0040170D E8 50000000 call 00401762 ; jmp to kernel32.ExpandEnvironmentStringsA
00401712 68 F4304000 push 4030F4
00401717 E8 32FCFFFF call 0040134E
0040171C 0BC0 or eax,eax
0040171E 75 0C jnz short 0040172C
00401720 68 E7304000 push 4030E7
00401725 E8 68000000 call 00401792 ; jmp to kernel32.OutputDebugStringA
0040172A EB 06 jmp short 00401732
0040172C 50 push eax
0040172D E8 60000000 call 00401792 ; jmp to kernel32.OutputDebugStringA
00401732 E8 F9F8FFFF call 00401030
00401737 6A 00 push 0
00401739 E8 1E000000 call 0040175C ; jmp to kernel32.ExitProcess
能力值:
( LV2,RANK:10 )
8 楼
卡巴报的是下载者.
我用瑞星,麦咖啡,NOD32都不报.
看来是做过免杀的.
能力值:
( LV2,RANK:10 )
9 楼
病毒最终生成了pcihdd.sys文件,然后注册成服务,然后服务讲pcihdd.sys写入到userinit.exe文件中,现在破解到pcihdd.sys中了,但是sys驱动我一窍不通,谁给点头绪吧~
以下是病毒生成的驱动文件的下载地址:
http://www.vupig.com.cn/disk.sys
能力值:
( LV2,RANK:10 )
10 楼
病毒名稱 :機器狗病毒(硬件驅動級)穿透冰点還原軟件還原卡.
不像是AV 終結者! 可能是本身下載了AV終結者! 經過測試,DF6.0、DF6.1、DF6.2及以前版本均被成功穿透,這是一個木馬下載器,下載器通過名為PCIHDD.SYS驅動文件進行與DF的硬盤控制權的爭奪,並修改userinit.exe文件。實現徹底的隱蔽開機啟動。目前的臨時解決方案:一是封IP,二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys
[ Changes to filesystem ]
* Creates file C:\WINDOWS\system32\drivers\pcihdd.sys.
[ Changes to registry ]
* Creates key "HKLM\System\CurrentControlSet\Services\PciHdd".
* Sets value "ImagePath"="C:\WINDOWS\system32\drivers\pcihdd.sys" in key "HKLM\System\CurrentControlSet\Services\PciHdd".
* Sets value "DisplayName"="PciHdd" in key "HKLM\System\CurrentControlSet\Services\PciHdd".
[ Process/window information ]
* Creates service "PciHdd (PciHdd)" as "C:\WINDOWS\system32\drivers\pcihdd.sys".
* Attempts to access service "PciHdd".
能力值:
( LV2,RANK:10 )
11 楼
现在病毒动辄就是带驱动 要不就穿透还原卡和软件 真无语
能力值:
( LV2,RANK:10 )
12 楼
还回写了,回写后再加密,再写另外一个