- 博客(1)
- 收藏
- 关注
原创 对某bootkit的驱动分析
一.基本信息驱动文件名:1F273549.sys(驱动名称随机)病毒类型:感染MBRMD5:xxx文件大小:9,104 字节 二.危害简介1. hook了4个SSDT函数,用于对抗杀软的驱动加载,以及保护自身样本不被复制2. 替换了Disk.sys的StartIo处理例程,隐藏MBR的修改3. 根据上层传入的进程pid来杀进程,主要用于结束杀软的进程4. 使用磁盘IO来直接操作MBR三.详细分析1
2012-12-04 13:10:09 2231
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人