:kaka6: 这应该是
“看雪论坛.深圳腾讯 2008软件安全竞赛活动”第三阶段第一题。我没有参加第一、二阶段,所以第三阶段也没有拿到那文档密码,但是从参加者的回复看,基本可以确定是这个。
该文件应该是修改过,其中的new10.exe的资源中,后来释放为驱动HBKernel32.sys的资源被改过,大致是把IMAGE_DOS_HEADER头改了,把文件中的0x00字节改成0x20,所以改后的这个驱动释放之后是不能加载成功的。
至于system.exe和new10.exe的分析,现该活动第三阶段已结束,论坛上的回答帖子已经公开,回答已经很详细,我就不必要再重复别人的分析工作了。
说实在,这个病毒代码很直白,对于这个阶段来说,的确如参赛者说的,太easy了。
瑞星查不到,某种程度上来说是正常的,如果特征码刚好取到我刚刚说的被修改了的HBKernel32.sys内容(new10.exe中ID为100的资源)中,那么因为这个样本该部分被改了,查不到也算可以理解。