呵呵,穿透冰点不错! 提出来做游戏更新用!!分析原理
病毒程序 通过pichdd.sys 穿透冰点 改写 userinit.exe
呵呵,只是改写,重起以后, userinit.exe 开始从yu.8s7.net的文件列表下载病毒!病毒不过冰点还原!
其中疑问: 为什么改写userinit.exe 没有文件保护提示!
希望大家踊跃发言! 坚决抵制病毒!
首先确定 是MASM32 或 TASM32编写的!下面是反遍情况!
超级字串参考+
地址 反汇编 文本字串
00401056 PUSH explorer.00401029 pcihdd
004010B1 PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
0040113D PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
004011DB PUSH explorer.00401029 pcihdd
004011E0 PUSH explorer.00401029 pcihdd
0040120F PUSH explorer.00401029 pcihdd
0040126C PUSH explorer.00401029 pcihdd
00401271 PUSH explorer.00401029 pcihdd
0040129C PUSH explorer.00401029 pcihdd
004012FC PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
00401318 PUSH explorer.00403000 对不起,驱动程序的加载没有成功,程序将无法运行.
00401367 PUSH explorer.0040302E \\.\physicalharddisk0
0040145E PUSH explorer.00403044 \\.\physicaldrive0
0040162A PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
00401670 MOV DWORD PTR SS:[EBP-1C],explorer.00403 分配内存不成功
00401684 MOV DWORD PTR SS:[EBP-1C],explorer.00403 寻址文件不成功
0040168D MOV DWORD PTR SS:[EBP-1C],explorer.00403 不支持的磁盘分区
00401696 MOV DWORD PTR SS:[EBP-1C],explorer.00403 第一个分区不是启动分区
004016AA MOV DWORD PTR SS:[EBP-1C],explorer.00403 该文件是压缩文件,不能操作
004016B3 MOV DWORD PTR SS:[EBP-1C],explorer.00403 获取文件原始信息失败
004016CA MOV DWORD PTR SS:[EBP-1C],explorer.00403 打开文件失败
004016DE MOV DWORD PTR SS:[EBP-1C],explorer.00403 加载驱动失败
004016ED PUSH 0 (初始 cpu 选择)
00401708 PUSH explorer.0040132B %systemroot%\system32\userinit.exe
00401720 PUSH explorer.004030E7 操作成功
这是详细 代码!
浏览文件
这是脱壳文件!
浏览文件用OllyDBG 或 W32asm 分析!
简单防御!
在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹 设置属性为 任何人禁止
批处理
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
带病毒的 userinit.exe文件
|
安全中国首页 > 文章中心 > 安全防护