能力值:
( LV2,RANK:10 )
|
-
-
2 楼
windbg/softice/syser
|
能力值:
( LV6,RANK:90 )
|
-
-
3 楼
syser还是不能解决我鼠标的问题,真实机器和VMWare都一样,太挨球了.
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
你rpth,没的法
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
别挨球了,大家分析下这个文件,看下吧,
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
完整的样本可有?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
我有完整的病毒样本
http://wpsey.gbaopan.com/files/085ecc63a22849babf4f0e9d5d315ad0.gbp
这个是脱了壳的了,这病毒太恶性了。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
只有正式用户才能下载该文件,请升级为正式用户
可否放到rapidshare之类不用注册的共享站点?
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
就是UnPacKcN 上发的那个所谓的“Av终结者变种”吧
disk.sys 就10k,也没加密,只是静态分析就够了
里面似乎也没什么东西。
基本流程如下
1)检查IDT的09(NPX Segment Overrun)和0E(Page Fault )处理程序的地址
如果09号中断处理程序存在,并且处理程序地址的高8位与0E处理程序高8位不同,则把
IDT中0E的高16位设为0。估计是检查0E是不是被HOOK了
我比较龌龊,看不懂这些操作的意思,这样不BOSD?请懂的兄弟跟帖告诉一声
2)通过搜索地址来查找自己的加载地址
查找驱动文件的资源中的1000/1000,并复制到一个全局缓冲区中
3)创建了\Device\PhysicalHardDisk0及其符号连接\DosDevices\PhysicalHardDisk0
4)只对IRP_MJ_CREATE
IRP_MJ_CLOSE
IRP_MJ_DEVICE_CONTROL
作出响应
其中IRP_MJ_CREATE中会断开\Device\Harddisk0\DR0上附加的设备。我对磁盘驱动不熟悉,这个操作会使文件系统驱动(OS提供的,但一些杀毒软件也通过此渠道进行文件系统监控)及其上的文件系统过滤驱动(大多数文件访问控制和监控都是这个层次的)无效?
但这种操作应该会影响系统正常的文件系统操作吧?
在IRP_MJ_CLOSE 中对恢复DR0上的附加
在IRP_MJ_DEVICE_CONTROL中对0xF0003C04作出响应,只是把2)中找到的资源数据解密后返回到应用程序。解密密钥是通过应用程序传入的一个串(密钥种子?)查表后产生
|
能力值:
( LV4,RANK:50 )
|
-
-
11 楼
确实会使文件系统驱动和文件系统过滤驱动无效
http://blog.csdn.net/joshua_yu/archive/2006/02/04/591636.aspx
|
能力值:
( LV12,RANK:760 )
|
-
-
12 楼
这样子的话,写入磁盘的操作不是需要自己来了么~
唉,还不如针对性的拆墙好一些~
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
针对这种病毒目前有什么防范的东西可以防范?
|
能力值:
( LV12,RANK:760 )
|
-
-
14 楼
对文件系统做处理,不要让它返回真正的文件内容分布~
|
|
|