首页
社区
课程
招聘
[讨论]spjq.sys 是个啥东西?见多识广的进来研究下.
发表于: 2008-10-20 13:36 6665

[讨论]spjq.sys 是个啥东西?见多识广的进来研究下.

2008-10-20 13:36
6665
就是这个东西


NtQueryValueKey,NtQueryKey,NtSetValueKey,NtCreateKey等等都被它挂了
是个啥玩意啊..

需要我提供更多的信息回帖告之,我补充上来.

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
2
这个不好说,如果只是钩了注册表相关的系统调用,而没有钩键盘、文件等,可能是个注册表监控程序。

谷歌上查了下,一个国外的论坛上有过对它的讨论,他们也没结论,只是推测。下面的是谷歌翻译的。

SSDT spjq.sys ZwEnumerateKey [0xBA6C8CA2] SSDT spjq.sys ZwEnumerateKey [0xBA6C8CA2]
SSDT spjq.sys ZwEnumerateValueKey [0xBA6C9030] SSDT spjq.sys ZwEnumerateValueKey [0xBA6C9030]

---- Devices - GMER 1.0.14 ---- ---- Devices - GMER 1.0.14 ----

... normalnym jeśli są wirtuale. normal if they are virtual. Te losowe sterowniki sp*.sys (najwyraźniej derywacja od sptd.sys) zawsze występują z wirtualami. These random drivers sp *. sys (apparently derivation from sptd.sys) always makes a wirtualami. To zjawisko zaczęło tu pojawiać się na forum b. świeżo, dopiero co. This phenomenon began to appear here on the forum b. fresh, just. Ich nazwy ulegają zmianie sesyjnie tzn. od resetu komputera do resetu. Their names have been changed sesyjnie ie reset the computer to reset.

可以参考下。

如果能找到文件的磁盘映像,可以用IDA来分析一下,大概就有点眉目了。
2008-10-20 13:49
0
雪    币: 185
活跃值: (477)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
[QUOTE=;]...[/QUOTE]
虚拟光驱?安装以后出现的吗
2008-10-20 13:58
0
雪    币: 214
活跃值: (46)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
deamon tools的变形驱动,无害
2008-10-20 14:42
0
雪    币: 207
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这你也知道..  好厉害.
佩服..
2008-10-20 15:53
0
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
6
你没有仔细看我给出的参考内容吧,上面已经说这个文件是sptd.sys的变形了。
2008-10-20 21:10
0
雪    币: 207
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
嗯.也非常感谢你提供的资料.怎么联系,以后有问题还想多请教你下.给个邮箱吧,呵呵
2008-10-20 22:35
0
游客
登录 | 注册 方可回帖
返回
//