弹跳hxxp://www.11bbb.net/ad.html 和 hxxp://www.11bbb.net/1.js - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流弹跳hxxp://www.11bbb.net/ad.html 和 hxxp://www.11bbb.net/1.js

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

弹跳hxxp://www.11bbb.net/ad.html 和 hxxp://www.11bbb.net/1.js

本主题由技术团队魔法学徒于 2008-7-22 0:55:05 执行 delposts 操作

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2008-05-14 23:57 \| 只看楼主短消息资料字号：小中大 11楼回复: 弹跳hxxp://www.11bbb.net/ad.html 和 hxxp://www.11bbb.... 引用: 原帖由艾玛于 2008-5-13 8:08:00 发表作者更新比较勤 [复制到剪贴板] CODE: hxxp://www.111550.net hxxp://1.see101.net hxxp://user1.33-23.net hxxp://user1.33-25.net hxxp://www.57804.net.cn hxxp://www.aixiaoshuo.net/dl6.htm?13 hxxp://www.ackii.net/dl6.htm?14 hxxp://www.aixiaoshuo.net/news.html hxxp://user1.33-25.net/ms06014.js hxxp://user1.33-25.net/Thunder.html hxxp://user1.33-25.net/GLWORLD.html hxxp://user1.33-25.net/real.js hxxp://user1.33-25.net/Real.html bak.css hxxp://www.55-25.cn hxxp://www.88-64.cn hxxp://www.77-49.cn hxxp://www.too121.cn/7.htm?eeee hxxp://www.too121.cn/news.html hxxp://www.mvoe.cn/all/aa.js hxxp://www.mvoe.cn/all/aa.htm?aa hxxp://www.mvoe.cn/all/new.htm hxxp://www.mvoe.cn/all/a014.js hxxp://www.mvoe.cn/all/arl.js hxxp://www.mvoe.cn/all/abf.js hxxp://www.mvoe.cn/all/alz.htm hxxp://www.mvoe.cn/all/anrl.htm hxxp://w.117b.cn/net/are.exe hxxp://w.338t.cn/net/are.exe
艾玛大版主帖子:18894 注册: 2004-01-01 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-05-16 19:22 \| 短消息资料字号：小中大 12楼回复：弹跳hxxp://www.11bbb.net/ad.html 和 hxxp://www.11bbb.... …… 更新得比较夸张。刚在霏凡看到其中一个，说一点东西：释放的驱动其中一个动作：当驱动的Device收到病毒主体文件的DeviceIoControl调用，IOCTL为0x222000时触发： 1. 读取硬盘中的atapi.sys 在其INIT段的代码中，利用特征码搜索定位它的DrviceEntry中，填充DriverObject的MajorFunction的处理例程的代码。从中得到其IRP_MJ_DEVICE_CONTROL和IRP_MJ_INTERNAL_DEVICE_CONTROL的原始处理例程地址。 2. 利用ZwQuerySystemInformation(SystemModuleInformation)得到系统加载的内核模块的列表，查找atapi.sys，得到其基址 3. ObReferenceObjectByName，访问atapi.sys的驱动对象'\Driver\atapi' 利用第1、2步得到的结果，计算出内核中其IRP_MJ_DEVICE_CONTROL和IRP_MJ_INTERNAL_DEVICE_CONTROL的原始处理例程地址。于是就还原这两个地址。也就是说，通过这样的方式，来还原其他保护软件对atapi.sys的驱动处理例程的HOOK。以上动作的原理，可以见http://hi.baidu.com/sudami/blog/item/ffbee31e5687011c413417ea.html 果然还是被病毒作者给学走了么
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2008-05-16 22:38 \| 只看楼主短消息资料字号：小中大 13楼回复: 弹跳hxxp://www.11bbb.net/ad.html 和 hxxp://www.11bbb.... 引用: 原帖由轩辕小聪于 2008-5-16 19:22:00 发表 …… 更新得比较夸张。刚在霏凡看到其中一个，说一点东西：释放的驱动其中一个动作：当驱动的Device收到病毒主体文件的DeviceIoControl调用，IOCTL为0x222000时触发： 1. 读取硬盘中的atapi.sys 在其INIT段的代码中，利用特征码搜索定位它的DrviceEntry中，填充DriverObject的MajorFunction的处理例程的哎
艾玛大版主帖子:18894 注册: 2004-01-01 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT