首页
社区
课程
招聘
[原创]pcidump.sys和其它几个驱动的idb文件
发表于: 2009-5-30 14:04 12420

[原创]pcidump.sys和其它几个驱动的idb文件

2009-5-30 14:04
12420
收藏
免费 7
支持
分享
最新回复 (15)
雪    币: 71
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
沙发,慢慢欣赏
2009-5-30 14:13
0
雪    币: 340
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
沙发没了
2009-5-30 14:14
0
雪    币: 296
活跃值: (89)
能力值: ( LV15,RANK:340 )
在线值:
发帖
回帖
粉丝
4
killib.sys 是那个func.dll放出来的acpiec.sys吧,不过貌似除掉了里面那堆add eax,1

我在acpiec.sys后面看到这样的东西:
E:\ts\benz_5-15\SYS\objfre\i386\KILLKB.pdb
作者太不小心了,文件夹名没除干净...
2009-5-30 14:47
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
感谢zhzhtst,木桩
2009-5-30 14:57
0
雪    币: 220
活跃值: (776)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
光有IDB呀,有C最好,呵呵
2009-5-30 20:12
0
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
7
楼主提供的是以前看到的同类病毒中的文件,那个killib.sys自然也是旧的。
至于另一帖那样本里acpiec.sys里的那堆add eax,1的,和exe/dll里面加花的样子相同,说明是那个病毒作者用同一个加花工具搞出来的。
2009-5-31 01:08
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
8
看到用IoCreateFile去打开文件,我猜想它过不了某BT还原~
2009-5-31 07:53
0
雪    币: 221
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
IOCTL_ATA_PASS_THROUGH 写文件, 太老咯.
2009-5-31 10:19
0
雪    币: 462
活跃值: (53)
能力值: ( LV9,RANK:460 )
在线值:
发帖
回帖
粉丝
10
我不想说别的,我只想说,你知道IDA高级用法中的group node和hide吗?“那个killib.sys自然也是旧的。”这么不负责任的话也可以随便说?
2009-5-31 18:55
0
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
11
呃,因为楼主说已经看过pcidump.sys了,我以为楼主发的是以前看过的版本,而不是另一帖给出的样本的版本,没有仔细看,抱歉了
2009-5-31 20:48
0
雪    币: 114
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
呵呵,这个病毒的主文件我分析过了~
不懂逆驱动……
下载回来看看吧
2009-5-31 22:57
0
雪    币: 471
活跃值: (4223)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
13
压缩包有密码?打不开啊
2009-6-1 21:29
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
14
看注释,里面是密码~
2009-6-1 21:35
0
雪    币: 471
活跃值: (4223)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
15
ok.找到了,谢谢楼主了
2009-6-2 17:59
0
雪    币: 290
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
楼主分析的很详细,学习一下。
2009-6-21 07:52
0
游客
登录 | 注册 方可回帖
返回
//