Board logo

标题: 再次半驱动化,注入新方式 [打印本页]
作者: 点饭的百度空间     时间: 2008-1-3 21:34    标题: 再次半驱动化,注入新方式

SONGBOWEN:一个生成随机命名驱动的毒
从卡饭看到的,EQ能够拦截其安装、加载驱动,但是看不到其他的具体操作(毕竟是一个靠驱动吃饭的。。。)据论坛的某超版说,也可以过微点。
运行以后,释放驱动,然后就加载驱动,没有其他的操作,用IceSword很容易清除(我用特殊方法实验的,据说直接删除他的驱动会蓝屏)。

:)unknown tycoon:
从点饭宋版主那里碰见的样本 用驱动打开进程services写代码进去,插入***,比较缺德,和run'time3工作方式差不多,只不过那个插入的是svchost小道消息微点572版本已经拦截了

只要加载了驱动就是平等权限,但驱动要单一作事情很难,现在还没有见到全驱木马,不过也不确定没有超越内核windows头上飞的后门、木马出来,全驱病毒前几天有了吧,那个驱动感染驱动的。 全驱动是可怕的,等于写一个子系统内核,不过全驱动病毒也要通讯

















不知道什么鬼东西 有兴趣的朋友研究下,
<System>\oirijshr.ini
[config]
[local]
[peers]
00003D6C8F338A3FDD3DF3648666F55C=0C012A15261A00
0100A634122F3553A046EC451061927C=0C2A0062800900
02007E238D780D25FD5511285E2E596E=0CCE15C939B000
03001E62DC533E7AF6161729A953891B=0CD0DFED097400
0400EB5EC13599373A3D544A2D6AF94F=0CD65FE3817100
05004710B3440F5D2117CE555A62D04A=0CD6BB640AD400
06001471521206296D099433C93EC427=0CDAD14A255E00
07002D6D5B0FE3019C56B1290A564E59=18031F4625E700
0800A2417153943DC23C6C5C817C4159=18046DC96D1F00
090065102D407C584C618673541AE973=1805F3981A3100
0A000025C024CD144649E4126879A11D=1809CE38235B00
0B007B746275F438B455DF7F1424EF61=180C335B342D00
0C00260EE116DB45D4169E149003862F=181ACAFD5F3700
0D001E289B5F9E016A4743746E17FF16=18200DAA83B000
0E0055414112C95E48217F670351914E=18203163272000
0F008F46AF7BEB787A30E91CA076303C=18206154830D00
10000A0C4D685A18CF59C847B07F5D5E=18209CAA3F8900
11005D7EE1772F72D91A0F132026822C=182E0199574F00
1200B94F54002C79AD26A57D067A0139=182FC92B53B900
1300F2065813514E9C362D30B85BA617=18388CA620ED00
太长了。。略


:)The file oirijshr.ini is a text file (configuration file for Troj/Dorf-AN).
http://www.sophos.com/security/analyses/trojdorfan.html

[ Last edited by 点饭的百度空间 on 2008-1-5 at 20:39 ]
作者: Legend     时间: 2008-1-3 21:39
请把您的样本压缩加密发到virus@micropoint.com.cn我们具体测试分析下;
发送完请把您的邮箱地址用论坛短消息发给我,方便对您的问题的跟踪处理。
作者: 点饭的百度空间     时间: 2008-1-3 23:10
转帖 一只纯ASM编写的免杀病毒(开源代码)
[url]https://***.html[*/url]




[ Last edited by Legend on 2008-1-3 at 23:17 ]
作者: 小小刀     时间: 2008-1-4 09:29
杀软与病毒的斗争永远没有终点
作者: lotei     时间: 2008-1-5 16:22
半驱动的编写已经非常可怕了,不知道全驱会是怎么样,据说已经有了全驱动,不知是不是真的!
作者: baijian_8d     时间: 2008-1-5 17:14
飘雪 ,my123的强制锁定网页的那个恶意驱动。。算不算全驱动?
作者: 点饭的百度空间     时间: 2008-1-5 20:40


  Quote:
Originally posted by baijian_8d at 2008-1-5 17:14:
飘雪 ,my123的强制锁定网页的那个恶意驱动。。算不算全驱动?

不算  http://bbs.micropoint.com.cn/showthread.asp?tid=23857&fpage=3
作者: nasdaq     时间: 2008-1-6 22:22
runtime系列领教过
很好,很强大
作者: 微点放大是焦点     时间: 2008-1-7 01:31
这些都是技术性的探讨,在我这些非计算机专业的人看来是很复杂的.不过原理我倒是觉得自己有一点点理解,哎呀...后悔当初我选的怎么不是计算机专业,可能我是个计算机的天才呢...囧rz



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn