这是一个比较老的木马。但是采取了驱动技术，就用KsProcessMon把它分析一下吧。
先运行KsProcessMon。
再运行这个cc.exe后，KsProcessMon会报cc.exe的驱动加载：

图：

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2; GreenBrowser)

然后用SSM检测可知：这个cc.exe将自身复制到C:\WINDOWS目录下，并且又注册了一个服务。启动傀儡IE，利用SetWindowsHookEx注入DLL实现全局钩子。

木马感染完毕，用KsProcessMon扫描一下，得出日志：

（这仅仅是一部分，完整的请看附件）

            KsProcessMonitor Scanner V 1.00       
            Made By Lightning(kxsystem@163.com)     

//---------------------------------------------------------------------//
进程
        PID:0        [System Idle Process]    NT OS KERNEL
        PID:4        [System]                NT OS KERNEL
        PID:372      \SystemRoot\System32\smss.exe
        PID:540      C:\WINDOWS\system32\csrss.exe
        PID:576      C:\WINDOWS\system32\winlogon.exe
        PID:684      C:\WINDOWS\system32\services.exe
        PID:696      C:\WINDOWS\system32\lsass.exe
        PID:856      C:\WINDOWS\system32\svchost.exe
        PID:936      C:\WINDOWS\system32\svchost.exe
        PID:1052      C:\WINDOWS\System32\svchost.exe
        PID:1220      C:\WINDOWS\system32\svchost.exe
        PID:1308      C:\Program Files\System Safety Monitor\SysSafe.exe
        PID:1420      C:\WINDOWS\system32\svchost.exe
        PID:1432      C:\WINDOWS\Explorer.EXE
        PID:1644      C:\WINDOWS\system32\spoolsv.exe
        PID:1756      C:\Program Files\VMware\VMware Tools\VMwareTray.exe
        PID:1764      C:\Program Files\VMware\VMware Tools\VMwareUser.exe
        PID:1772      C:\WINDOWS\system32\ctfmon.exe
        PID:244      C:\WINDOWS\system32\wdfmgr.exe
        PID:344      C:\Program Files\VMware\VMware Tools\VMwareService.exe
        PID:1600      C:\WINDOWS\system32\wscntfy.exe
        PID:1136      C:\WINDOWS\system32\wuauclt.exe
        PID:1092      C:\Documents and Settings\Lightning\桌面\ProcessMon.exe
        PID:1340      C:\WINDOWS\system32\conime.exe
        PID:2004      C:\Documents and Settings\Lightning\桌面\autoruns.exe
        PID:468      C:\Documents and Settings\Lightning\桌面\IceSword.exe
        PID:512      C:\Program Files\Internet Explorer\IEXPLORE.EXE


Browser Helper Objects

系统服务与驱动
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

        Browser          %SystemRoot%\system32\svchost.exe -k netsvcs
        cc              C:\WINDOWS\cc.exe

        SVKP            \??\C:\WINDOWS\system32\SVKP.sys


//---------------------------------------------------------------------//
[font_color=#0]



我以红色标示出了木马项。

因为KsProcessMon尚在测试时期，没有标出木马的DLL（想想在哪里检测比较好再添加。）。

完整日志见附件：

用SSM的监控得到它注入的DLL文件名为：MSWSRO.DAT（它改了后缀，其实是一个DLL）。

所以，清除方法如下：

1.用IceSword禁止线/进程创建。
2.结束iexplore.exe进程
3.注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
删除        cc              C:\WINDOWS\cc.exe
        SVKP            \??\C:\WINDOWS\system32\SVKP.sys
4、停止服务cc

5、删除C:\WINDOWS\cc.exe C:\WINDOWS\system32\SVKP.sys C:\WINDOWS\MSWSRO.DAT

后记：
KsProcessMon是我这个暑假抽空写的软件，技术含量不高。“最强技术”的仅仅是这个程序的自我保护而已，其它的都是Ring3下的扫描，希望能在以后改进。

KsProcessMon具体介绍及下载：
http://hi.baidu.com/aegisys/blog/item/695cedfdfa236a47d6887dd1.html

看來這個木馬市比較老的，支持LZ原創！！！

請LZ告訴我木馬的破壞性等。。。

这个木马好像只是一个测试的东西，加载了个驱动什么也没有干。
它那个驱动只有2.4KB，看起来像空壳。

INIT:0001043C ; int __stdcall start(PDRIVER_OBJECT DriverObject)
INIT:0001043C                public start
INIT:0001043C start          proc near
INIT:0001043C
INIT:0001043C DestinationString= UNICODE_STRING ptr -0Ch
INIT:0001043C DeviceObject    = dword ptr -4
INIT:0001043C DriverObject    = dword ptr  8
INIT:0001043C
INIT:0001043C                push    ebp
INIT:0001043D                mov    ebp, esp
INIT:0001043F                add    esp, 0FFFFFFF4h
INIT:00010442                push    ebx
INIT:00010443                push    esi
INIT:00010444                push    edi
INIT:00010445                lea    edi, [ebp+DestinationString]
INIT:00010448                push    offset SourceString ; "\\Device\\SVKP"
INIT:0001044D                push    edi            ; DestinationString
INIT:0001044E                call    RtlInitUnicodeString
INIT:00010453                lea    ecx, [ebp+DeviceObject]
INIT:00010456                mov    esi, [ebp+DriverObject]
INIT:00010459                push    ecx            ; DeviceObject
INIT:0001045A                push    eax            ; Exclusive
INIT:0001045B                push    eax            ; DeviceCharacteristics
INIT:0001045C                push    22h            ; DeviceType
INIT:0001045E                push    edi            ; DeviceName
INIT:0001045F                push    eax            ; DeviceExtensionSize
INIT:00010460                push    esi            ; DriverObject
INIT:00010461                call    IoCreateDevice
INIT:00010466                test    eax, eax
INIT:00010468                jl      short loc_104AF
INIT:0001046A                mov    edx, [ebp+DeviceObject]
INIT:0001046D                or      dword ptr [edx+1Ch], 4
INIT:00010471                mov    eax, offset sub_10325
INIT:00010476                mov    dword ptr [esi+34h], offset sub_102C0
INIT:0001047D                mov    [esi+38h], eax
INIT:00010480                mov    [esi+40h], eax
INIT:00010483                mov    dword ptr [esi+70h], offset sub_102DC
INIT:0001048A                mov    eax, offset SymbolicLinkName
INIT:0001048F                push    edi
INIT:00010490                push    eax
INIT:00010491                push    offset aDosdevicesSvkp ; "\\DosDevices\\SVKP"
INIT:00010496                push    eax            ; SymbolicLinkName
INIT:00010497                call    RtlInitUnicodeString
INIT:0001049C                call    IoCreateSymbolicLink
INIT:000104A1                test    eax, eax
INIT:000104A3                jge    short loc_104AF
INIT:000104A5                push    eax
INIT:000104A6                push    [ebp+DeviceObject] ; DeviceObject
INIT:000104A9                call    IoDeleteDevice
INIT:000104AE                pop    eax
INIT:000104AF
INIT:000104AF loc_104AF:                              ; CODE XREF: start+2Cj
INIT:000104AF                                        ; start+67j
INIT:000104AF                pop    edi
INIT:000104B0                pop    esi
INIT:000104B1                pop    ebx
INIT:000104B2                leave
INIT:000104B3                retn    8
INIT:000104B3 start          endp



这是它的DriverEntry，看起来没有任何东西啊。
[一般木马驱动会在DriverEntry中添加初始化代码]

__imp_IoCreateDevice      000102A0 
__imp_IoCreateSymbolicLink 000102A4 
__imp_IoDeleteDevice      000102A8 
__imp_IoDeleteSymbolicLink 000102AC 
__imp_RtlInitUnicodeString 000102B0 
__imp_IoCompleteRequest    000102B4 
IoCompleteRequest          0001038C 
IoCreateDevice            00010392 
IoCreateSymbolicLink      00010398 
IoDeleteDevice            0001039E 
IoDeleteSymbolicLink      000103A4 
RtlInitUnicodeString      000103AA 
SymbolicLinkName          000103E0 
SourceString              00010400 
aDosdevicesSvkp            0001041A 
start                      0001043C P
所调函数就这么多，这是一个空驱动一般只做的。

我看不明啊～我沒有學過。。。

^_^！

有很多木马加载驱动只不过是显摆技术.其实驱动中一点东西也没

楼主厉害！！！