我在剑盟给你看的那帖子,就已经告诉你关闭文件句柄的方法了,里面说的XX就是指的Process Explorer,怎么你现在才想到?
其实,不要老只想着“绞杀”,应该好好看看它到底增加了什么。打开boot.ini这个是老变种就有的特征。
最近那个驱动NetApi00.sys呢?没人看?那个驱动是修改SSDT的。
病毒通过读取硬盘中的ntoskrnl.exe,得到原始的SSDT表函数地址,然后通过DeviceIoControl将其传递给驱动程序,并由驱动程序来还原SSDT表,上演了R3与R0配合还原SSDT表的“好戏”。而且它设计的是一口气还原整个SSDT表。
其中它怎么搜索到ntoskrnl.exe中的SSDT表原始地址的,这一部分比较有价值。
这部分已经不像是一个rootkit,反而像是一个anti-rootkit了。这说明两者本身就没有明显的界限,问题只在于你的目的(还原SSDT为的是把杀软废掉)。
SSDT表被还原了,瑞星挂掉也就正常了……
但是这部分设置得不太合理,在做了N多注册表操作之后才“想起”要去还原SSDT,实际运行中很可能还没到这一步,就已经被安全软件拦截到了。
这部分内容我刚刚看完,等睡醒了整理一下发出来。
