-
-
[原创]sysanti病毒驱动分析(编译不过)
-
发表于: 2012-4-23 21:06
-
这个样本一年多了吧(刚知道这是机器狗病毒第三代,很多大牛分析过了),在复印店打印东西的时候中的毒,当时感觉病毒比较厉害,技术又烂的要死,rin3层的程序不会脱壳,丢在OD里面干瞪眼。。。从大三下开始接触驱动,到现在有点时间了。。。但是因为个人时间有限,看编程时间并不多,现在终于敢拿起IDA大致看一下这个病毒的驱动了。。。
程序一共两个驱动,文件名随机,一个3,968字节,一个8,256字节
技术实力有限,并没有完全逆完。。。距离编译通过有质的差距
驱动一
这个驱动先是打印一堆骂人的英文,在UserDispatch例程接收传来的进程ID(应该是),但是这个函数里面 v7没有初始化。。。。不太懂咋回事
|
|
|---|---|
|
|
|
|
|
还真不知道…谢谢提示…去对照着看看
|
|
|
|
