哎~！

这年头，什么人都有！干啥弄个破冰点的！不知道我们大部分网吧都用啊！破了你能得到什么好啊！ 再说从网吧有能得到什么呢？我门网管也不容易。

首先确定 是MASM32 或 TASM32编写的！

下面是反遍情况！

超级字串参考＋ 地址 反汇编 文本字串 00401056 PUSH explorer.00401029 pcihdd 004010B1 PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys 0040113D PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys 004011DB PUSH explorer.00401029 pcihdd 004011E0 PUSH explorer.00401029 pcihdd 0040120F PUSH explorer.00401029 pcihdd 0040126C PUSH explorer.00401029 pcihdd 00401271 PUSH explorer.00401029 pcihdd 0040129C PUSH explorer.00401029 pcihdd 004012FC PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys 00401318 PUSH explorer.00403000 对不起,驱动程序的加载没有成功,程序将无法运行. 00401367 PUSH explorer.0040302E \\.\physicalharddisk0 0040145E PUSH explorer.00403044 \\.\physicaldrive0 0040162A PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys 00401670 MOV DWORD PTR SS:[EBP-1C],explorer.00403 分配内存不成功 00401684 MOV DWORD PTR SS:[EBP-1C],explorer.00403 寻址文件不成功 0040168D MOV DWORD PTR SS:[EBP-1C],explorer.00403 不支持的磁盘分区 00401696 MOV DWORD PTR SS:[EBP-1C],explorer.00403 第一个分区不是启动分区 004016AA MOV DWORD PTR SS:[EBP-1C],explorer.00403 该文件是压缩文件，不能操作 004016B3 MOV DWORD PTR SS:[EBP-1C],explorer.00403 获取文件原始信息失败 004016CA MOV DWORD PTR SS:[EBP-1C],explorer.00403 打开文件失败 004016DE MOV DWORD PTR SS:[EBP-1C],explorer.00403 加载驱动失败 004016ED PUSH 0 (初始 cpu 选择) 00401708 PUSH explorer.0040132B %systemroot%\system32\userinit.exe 00401720 PUSH explorer.004030E7 操作成功

这是详细 代码！

下载信息  [文件大小：   下载次数： ]

点击浏览该文件:

这是脱壳文件！

下载信息  [文件大小：   下载次数： ]

点击浏览该文件:

用OllyDBG 或 W32asm 分析！

简单防御！

在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹 设置属性为 任何人禁止

批处理

md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n cacls %systemroot%\system32\userinit.exe /e /p everyone:r

exit

带病毒的 userinit.exe文件

下载信息  [文件大小：   下载次数： ]

点击浏览该文件:

分析得知：

http://yu.8s7.net/cert.cer 这个地址 是更新病毒的地址（呵呵！弄的还挺先进！）（没事可以看的）

地址里面的内容为 （千万别点！！）

http://www.tomwg.com/mm/mm.jpg

http://www.tomwg.com/mm/wow.jpg

http://www.tomwg.com/mm/mh011.jpg

http://www.tomwg.com/mm/zt.jpg

http://www.tomwg.com/mm/wl.jpg

http://www.tomwg.com/mm/wd.jpg

http://www.tomwg.com/mm/tl.jpg

http://www.tomwg.com/mm/dh3.jpg

http://www.tomwg.com/mm/my.jpg 呵~~！ 还弄个随时更新！

建议 把www.tomwg.com 和 yu.8s7.net 封了！ IP 是 58.221.254.103

呵呵，穿透冰点不错！ 提出来做游戏更新用！！

分析原理

病毒程序 通过pichdd.sys 穿透冰点 改写 userinit.exe

呵呵，只是改写（此时没有病毒）

重起以后， userinit.exe 开始从yu.8s7.net的文件列表下载病毒！

病毒不过冰点还原！

其中疑问： 为什么改写userinit.exe 没有文件保护提示！

希望大家踊跃发言！ 坚决抵制病毒！

楼主厉害

看不懂！有什么好的防范措施或软件?

不知道能不能分析出病毒下载者是用域名还是IP来下载木马运行的？？？

兄弟 高手 呵呵 你Q多少呀

能让一群自以为冰点天下无敌的人无地自容

楼主真厉害佩服，偶要象你学习，对了想出什么办法底制它没？我正在做母盘快完工了，如有好的不丁我就打进去

静静地等候www.deepfreeze.com升级新的内核版本

传说中的高手?终于一睹真容,全力顶.

强

留名

终于让大家知道不再相信神了

网吧不装杀毒的后果，自找的

呵呵

我注意你很久了!你的批处理改了几次!

我是模拟三联的,抄来的

md %systemroot%\system32\drivers\pcihdd.sys

attrib +s +h +r %systemroot%\system32\drivers\pcihdd.sys

echo y|cacls %systemroot%\system32\drivers\pcihdd.sys /d everyone

echo y|cacls %systemroot%\system32\drivers /c /p everyone:r

echo y|cacls %systemroot%\system32\userinit.exe /c /p everyone:r

这一条echo y|cacls %systemroot%\system32\drivers /c /p everyone:r

可能安装新驱动会出问题

高手，我佩服

不知道哪个SB想表现一下自己吧。所以弄这个毒出来了