此為樣本文件下載鏈接：http://download.csdn.net/detail/cs08211317dn/3982364，壓縮包解壓縮密碼為：virus。

今天花了1個(gè)多小時(shí)分析了一款名為123.exe的病毒，覺得挺有意思的，于是順手寫個(gè)手殺報(bào)告，以備以后查看。

1.病毒行為：

（1）利用注冊表項(xiàng)?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options劫持多個(gè)軟件，在powertool中看到的劫持情況如下圖：

（2）釋放一個(gè)名字隨機(jī)的驅(qū)動(dòng)：C:\WINDOWS\system32\ 77037933.sys。此驅(qū)動(dòng)釋放文件系統(tǒng)dispatch鉤子，以隱藏自身和另外一個(gè)病毒文件

C:\WINDOWS\system32\appmgmts.dll。驅(qū)動(dòng)鉤子如下圖：

（3）刪除了以下兩個(gè)注冊表項(xiàng)：

HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

使得用戶無法進(jìn)入安全模式。

2.手殺步驟：

（1）僅僅摘除鉤子是不夠的，因?yàn)轵?qū)動(dòng)會(huì)回寫鉤子。所以用powertool卸載掉掛鉤的驅(qū)動(dòng)：C:\WINDOWS\system32\ 77037933.sys。隨著驅(qū)動(dòng)被卸載，鉤子也就不復(fù)存在了。

（2）此時(shí)在資源管理器中能夠看到C:\WINDOWS\system32\ 77037933.sys和C:\WINDOWS\system32\appmgmts.dll。sys文件能夠順利刪除。但是在刪除appmgmts.dll系統(tǒng)彈出以下錯(cuò)誤框：

無法刪除的原因很有可能是還有進(jìn)程在調(diào)用此文件。在xuetr中查找進(jìn)程模塊，發(fā)現(xiàn)pid為1128的進(jìn)程svchost.exe在調(diào)用appmgmts.dll，截圖如下：

于是先結(jié)束掉svchost.exe進(jìn)程，再刪除appmgmts.dll成功。注意，要盡快刪掉appmgmts.dll，否則此文件又會(huì)重新釋放一個(gè)驅(qū)動(dòng)文件，來替換剛才我們刪除的驅(qū)動(dòng)文件的功能。這樣前面做的步驟就都白費(fèi)了。

（3）修復(fù)鏡像劫持：刪除?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options這個(gè)注冊表項(xiàng)。

（4）修復(fù)安全模式：添加注冊表項(xiàng)：

HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

（5）到此為止，手殺完畢。提醒一點(diǎn)。不能刪除appmgmts.dll時(shí)，用一些軟件是可以刪除的，但是不完全。比如我用一款叫“頑固木馬克星”的殺毒軟件掃描到此文件并刪除，刪除確實(shí)是刪除了，但是pid為1128的進(jìn)程svchost.exe會(huì)再生成此文件，以下是我用processmonitor監(jiān)測到的回寫行為：

所以，要寫完全刪除appmgmts.dl文件，必須先結(jié)束pid為1128的進(jìn)程svchost.exe的進(jìn)程。否則svchost.exe會(huì)生成appmgmts.dl，而appmgmts.dl會(huì)再釋放一個(gè)驅(qū)動(dòng)。這樣就相當(dāng)于又回到了手殺的最初。

總結(jié)

以上是生活随笔為你收集整理的某释放驱动的样本分析及手杀报告的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。