测试平台：vm虚拟机 xp sp3
样本（见附件）：取自卡饭
测试工具：直接看图吧

 附件: 您所在的用户组无法下载或查看附件
  闲话少说 直接看该样本的行为吧
运行病毒 病毒进程启动 没有界面 很正常 没有病毒敢明目张胆的
  感觉电脑明显变卡 资源占用很大 如图

 附件: 您所在的用户组无法下载或查看附件
关机时会出现电脑蓝屏

 附件: 您所在的用户组无法下载或查看附件
通过对病毒的监控 取得其主要行为有
进程部分（AD）
病毒本体进程1.exe
  运行一段时间后会启动 cmd。exe进程 如图（额 结束1.exe太快了 没来得及截图）
 附件: 您所在的用户组无法下载或查看附件
 
 附件: 您所在的用户组无法下载或查看附件
显然 cmd是在运行一个批处理 目的是删除病毒母体 看图吧

 附件: 您所在的用户组无法下载或查看附件
文件修改部分
病毒主要释放相关文件有如下的
C:\Program files\MSDN\atixx.sys
C:\Program files\MSDN\000000000
C:\Program files\MSDN\atixx.inf
C:\Program files\MSDN\atixi.sys
C:\Program files\MSDN\000000001
C:\$PrepareToShrinkFileSize
C:\WINDOWS\INF\oem9.inf
C:\WINDOWS\INF\oem9.PNF
修改文件部分
C:\WINDOWS\system32\MmSys.Cpl   
C:\WINDOWS\system32\mdminst.dll   
C:\WINDOWS\system32\SysSetup.Dll 
C:\WINDOWS\system32\NetCfgx.dll 
C:\WINDOWS\system32\sti_ci.dll 
C:\WINDOWS\system32\SysSetup.Dll 
C:\WINDOWS\system32\Batt.dll   
C:\WINDOWS\system32\sdhcinst.dll   
C:\WINDOWS\system32\SysSetup.Dll 
C:\WINDOWS\system32\bthci.dll 
如图

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
注册表修改部分
由于已知是鬼影 其是通过修改mbr来实现自身加载的 注册表应该没有什么更改 验证如图

 附件: 您所在的用户组无法下载或查看附件
在TX中发现的异常 很隐秘啊

 附件: 您所在的用户组无法下载或查看附件
核心的RootKit hook

 附件: 您所在的用户组无法下载或查看附件
当然 最重要的mbr TX给力啊

 附件: 您所在的用户组无法下载或查看附件
遗憾的是没有实地的比较下mbr了
还有的就是网络了 这部分没有特别的监控 望高手指教了 呵呵 毕竟初涉 有很多的不足 大家凑合着看看吧 谢谢了
话说写得好累啊 支持的顶下 有意见的一定要提啊
谨以此文纪念我的卡卡实习生涯 快结束了 呵呵
额 样本在此（有两个哦）
 附件: 您所在的用户组无法下载或查看附件
用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13