看样子这玩意又出来了~不过没有ida分析过~只是想说点我的C代码的感染驱动时的一点点小技巧,我们知道驱动可以包含资源这部分资源又可以释放到内存或者怎么怎么的搞成一个executive image mapping,然后xxx.再zzz就可以执行资源,甚至里面还可以有些猥琐的各种加密之类的玩意——没错,我说的就是资源打包方式的感染,这玩意不陌生,至少二十一世纪初期这是个流行的感染方法,只要手工写一个操作资源的函数,在ring0实现资源打包就可以了,然后就是资源重载入(这个比较简单在内存里load pe而已)——至于如果实现感染,其实就更简单了,hook iocreatefile了事,至于所谓的ring3兼容式感染,更简洁的说,你可以在驱动的资源里带一个ring3 bind&load的玩意,然后就是xxx与zzz式工作了,至于更邪恶的可以YY一下啦~
高级语言实现感染後一切就再简单不过了——呵呵~
PS:
zjjmj2002放的样本ida里很难看~
高级语言实现感染後一切就再简单不过了——呵呵~
PS:
zjjmj2002放的样本ida里很难看~