windbg/softice/syser

syser还是不能解决我鼠标的问题,真实机器和VMWare都一样,太挨球了.

你rpth，没的法

别挨球了,大家分析下这个文件，看下吧,

完整的样本可有？

我有完整的病毒样本
http://wpsey.gbaopan.com/files/085ecc63a22849babf4f0e9d5d315ad0.gbp
这个是脱了壳的了，这病毒太恶性了。

只有正式用户才能下载该文件，请升级为正式用户

可否放到rapidshare之类不用注册的共享站点？

完整的样本：

http://www.vupig.com.cn/explorer.rar

就是UnPacKcN 上发的那个所谓的“Av终结者变种”吧

disk.sys 就10k,也没加密，只是静态分析就够了
里面似乎也没什么东西。
基本流程如下
1)检查IDT的09（NPX Segment Overrun）和0E（Page Fault ）处理程序的地址
  如果09号中断处理程序存在，并且处理程序地址的高8位与0E处理程序高8位不同，则把
  IDT中0E的高16位设为0。估计是检查0E是不是被HOOK了
  我比较龌龊，看不懂这些操作的意思，这样不BOSD？请懂的兄弟跟帖告诉一声
2)通过搜索地址来查找自己的加载地址
  查找驱动文件的资源中的1000/1000,并复制到一个全局缓冲区中
3)创建了\Device\PhysicalHardDisk0及其符号连接\DosDevices\PhysicalHardDisk0
4)只对IRP_MJ_CREATE
         IRP_MJ_CLOSE
         IRP_MJ_DEVICE_CONTROL
   作出响应
     
   其中IRP_MJ_CREATE中会断开\Device\Harddisk0\DR0上附加的设备。我对磁盘驱动不熟悉，这个操作会使文件系统驱动(OS提供的，但一些杀毒软件也通过此渠道进行文件系统监控）及其上的文件系统过滤驱动（大多数文件访问控制和监控都是这个层次的）无效？

   但这种操作应该会影响系统正常的文件系统操作吧？

  在IRP_MJ_CLOSE 中对恢复DR0上的附加

  在IRP_MJ_DEVICE_CONTROL中对0xF0003C04作出响应，只是把2)中找到的资源数据解密后返回到应用程序。解密密钥是通过应用程序传入的一个串（密钥种子？）查表后产生

确实会使文件系统驱动和文件系统过滤驱动无效

http://blog.csdn.net/joshua_yu/archive/2006/02/04/591636.aspx

这样子的话，写入磁盘的操作不是需要自己来了么～

唉，还不如针对性的拆墙好一些～

针对这种病毒目前有什么防范的东西可以防范?

对文件系统做处理，不要让它返回真正的文件内容分布～