回复:瑞星杀毒失败C:\WINNT\system32\rav.exe>>fsg2.0
该文件是VB所写,脱壳后没有很仔细地调试。但是瑞星报的名称的确是没错的。
从文件中包含的脚本看,程序通过生成进程快照,查找系统中有无ravmond.exe进程,有则TerminateProcess试图结束该进程。这已经是典型的对付瑞星的病毒手段(姑且不论成不成功)。
该文件有两个资源,ID号0x65的,被释放为RESSDT.sys,另有ID号为0x66的,是exe文件。
后者创建驱动服务,加载前者(RESSDT.sys),之后通过对系统首个内核模块的映像文件的重定位表的遍历,找到原始的SSDT表,然后使用DeviceIoControl与驱动通信,通过驱动还原SSDT表,以达到破坏杀毒软件的目的。注:磁碟机也使用这套方法。
因此,被报毒丝毫不冤枉。
