……
更新得比较夸张。
刚在霏凡看到其中一个,说一点东西:
释放的驱动其中一个动作:
当驱动的Device收到病毒主体文件的DeviceIoControl调用,IOCTL为0x222000时触发:
1. 读取硬盘中的atapi.sys
在其INIT段的代码中,利用特征码搜索
定位它的DrviceEntry中,填充DriverObject的MajorFunction的处理例程的代码。
从中得到其IRP_MJ_DEVICE_CONTROL和IRP_MJ_INTERNAL_DEVICE_CONTROL的原始处理例程地址。
2. 利用ZwQuerySystemInformation(SystemModuleInformation)得到系统加载的内核模块的列表,查找atapi.sys,得到其基址
3. ObReferenceObjectByName,访问atapi.sys的驱动对象'\Driver\atapi'
利用第1、2步得到的结果,计算出内核中其IRP_MJ_DEVICE_CONTROL和IRP_MJ_INTERNAL_DEVICE_CONTROL的原始处理例程地址。
于是就还原这两个地址。
也就是说,通过这样的方式,来还原其他保护软件对atapi.sys的驱动处理例程的HOOK。
以上动作的原理,可以见
http://hi.baidu.com/sudami/blog/item/ffbee31e5687011c413417ea.html果然还是被病毒作者给学走了么:kaka11: