哎~!
这年头,什么人都有!干啥弄个破冰点的!不知道我们大部分网吧都用啊!破了你能得到什么好啊! 再说从网吧有能得到什么呢?我门网管也不容易。
首先确定 是MASM32 或 TASM32编写的!
下面是反遍情况!
超级字串参考+
地址 反汇编 文本字串
00401056 PUSH explorer.00401029 pcihdd
004010B1 PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
0040113D PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
004011DB PUSH explorer.00401029 pcihdd
004011E0 PUSH explorer.00401029 pcihdd
0040120F PUSH explorer.00401029 pcihdd
0040126C PUSH explorer.00401029 pcihdd
00401271 PUSH explorer.00401029 pcihdd
0040129C PUSH explorer.00401029 pcihdd
004012FC PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
00401318 PUSH explorer.00403000 对不起,驱动程序的加载没有成功,程序将无法运行.
00401367 PUSH explorer.0040302E \\.\physicalharddisk0
0040145E PUSH explorer.00403044 \\.\physicaldrive0
0040162A PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
00401670 MOV DWORD PTR SS:[EBP-1C],explorer.00403 分配内存不成功
00401684 MOV DWORD PTR SS:[EBP-1C],explorer.00403 寻址文件不成功
0040168D MOV DWORD PTR SS:[EBP-1C],explorer.00403 不支持的磁盘分区
00401696 MOV DWORD PTR SS:[EBP-1C],explorer.00403 第一个分区不是启动分区
004016AA MOV DWORD PTR SS:[EBP-1C],explorer.00403 该文件是压缩文件,不能操作
004016B3 MOV DWORD PTR SS:[EBP-1C],explorer.00403 获取文件原始信息失败
004016CA MOV DWORD PTR SS:[EBP-1C],explorer.00403 打开文件失败
004016DE MOV DWORD PTR SS:[EBP-1C],explorer.00403 加载驱动失败
004016ED PUSH 0 (初始 cpu 选择)
00401708 PUSH explorer.0040132B %systemroot%\system32\userinit.exe
00401720 PUSH explorer.004030E7 操作成功
简单防御!
在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹 设置属性为 任何人禁止
批处理
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
分析得知:
http://yu.8s7.net/cert.cer 这个地址 是更新病毒的地址(呵呵!弄的还挺先进!)(没事可以看的)
地址里面的内容为 (千万别点!!)
http://www.tomwg.com/mm/mm.jpg
http://www.tomwg.com/mm/wow.jpg
http://www.tomwg.com/mm/mh011.jpg
http://www.tomwg.com/mm/zt.jpg
http://www.tomwg.com/mm/wl.jpg
http://www.tomwg.com/mm/wd.jpg
http://www.tomwg.com/mm/tl.jpg
http://www.tomwg.com/mm/dh3.jpg
http://www.tomwg.com/mm/my.jpg
呵~~! 还弄个随时更新!
建议 把www.tomwg.com 和 yu.8s7.net 封了! IP 是 58.221.254.103
呵呵,穿透冰点不错! 提出来做游戏更新用!!
分析原理
病毒程序 通过pichdd.sys 穿透冰点 改写 userinit.exe
呵呵,只是改写(此时没有病毒)
重起以后, userinit.exe 开始从yu.8s7.net的文件列表下载病毒!
病毒不过冰点还原!
其中疑问: 为什么改写userinit.exe 没有文件保护提示!
希望大家踊跃发言! 坚决抵制病毒
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法