机器狗分析源码脱壳附最终解决办法(图)

呵呵，穿透冰点不错！提出来做游戏更新用！！分析原理
病毒程序通过pichdd.sys 穿透冰点改写 userinit.exe
呵呵，只是改写，重起以后， userinit.exe 开始从yu.8s7.net的文件列表下载病毒！病毒不过冰点还原！
其中疑问：为什么改写userinit.exe 没有文件保护提示！

希望大家踊跃发言！坚决抵制病毒！
首先确定是MASM32 或 TASM32编写的！下面是反遍情况！

超级字串参考＋
地址反汇编文本字串
00401056 PUSH explorer.00401029 pcihdd
004010B1 PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
0040113D PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
004011DB PUSH explorer.00401029 pcihdd
004011E0 PUSH explorer.00401029 pcihdd
0040120F PUSH explorer.00401029 pcihdd
0040126C PUSH explorer.00401029 pcihdd
00401271 PUSH explorer.00401029 pcihdd
0040129C PUSH explorer.00401029 pcihdd
004012FC PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
00401318 PUSH explorer.00403000 对不起,驱动程序的加载没有成功,程序将无法运行.
00401367 PUSH explorer.0040302E \\.\physicalharddisk0
0040145E PUSH explorer.00403044 \\.\physicaldrive0
0040162A PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
00401670 MOV DWORD PTR SS:[EBP-1C],explorer.00403 分配内存不成功
00401684 MOV DWORD PTR SS:[EBP-1C],explorer.00403 寻址文件不成功
0040168D MOV DWORD PTR SS:[EBP-1C],explorer.00403 不支持的磁盘分区
00401696 MOV DWORD PTR SS:[EBP-1C],explorer.00403 第一个分区不是启动分区
004016AA MOV DWORD PTR SS:[EBP-1C],explorer.00403 该文件是压缩文件，不能操作
004016B3 MOV DWORD PTR SS:[EBP-1C],explorer.00403 获取文件原始信息失败
004016CA MOV DWORD PTR SS:[EBP-1C],explorer.00403 打开文件失败
004016DE MOV DWORD PTR SS:[EBP-1C],explorer.00403 加载驱动失败
004016ED PUSH 0 (初始 cpu 选择)
00401708 PUSH explorer.0040132B %systemroot%\system32\userinit.exe
00401720 PUSH explorer.004030E7 操作成功
这是详细代码！
浏览文件
这是脱壳文件！
浏览文件用OllyDBG 或 W32asm 分析！

简单防御！

在%systemroot%\system32\drivers\目录下建立个明字为 pcihdd.sys 的文件夹设置属性为任何人禁止

批处理

md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\system32\userinit.exe /e /p everyone:r

exit

带病毒的 userinit.exe文件