| 本月文章推荐 |
Win32.Hack.Rootkit.4224发表日期:2008-8-11
|
|
病毒名称(中文):
木马对抗模块4224
病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 木马程序 病毒长度: 4224 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个病毒驱动文件。它是某木马的组成模块之一。它会恢复系统的SSDT表,让具有主动防御功能的杀毒软件失效。 这是一个驱动文件,通过在驱动层读取ntoskrenl.exe或ntkrnlpa.exe的重定位表获取KeServiceDescriptorTable恢复SSDT. 二.病毒行为 获取当前系统的第一个模块(Xp系统为ntkrnlpa.exe、2000系统为ntoskrnl.exe),得到其模块的基址. 获取KeServiceDescriptorTable.通过重定位表,获取原始系统服务函数地址. 关闭cr0寄存器的写保护,还原经过重定位后的系统服务函数地址.恢复cr0寄存器的写保护. |
| 上一篇:Win32.Troj.EncodeXor.a.147456
人气:348 下一篇:PE.loader.d.135 人气:173 |
| 浏览全部Win32.Hack.Rootkit.4224的内容
Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐 |
