病毒名称(中文):
木马对抗模块4224
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
4224
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个病毒驱动文件。它是某木马的组成模块之一。它会恢复系统的SSDT表,让具有主动防御功能的杀毒软件失效。
这是一个驱动文件,通过在驱动层读取ntoskrenl.exe或ntkrnlpa.exe的重定位表获取KeServiceDescriptorTable恢复SSDT.
二.病毒行为
获取当前系统的第一个模块(Xp系统为ntkrnlpa.exe、2000系统为ntoskrnl.exe),得到其模块的基址.
获取KeServiceDescriptorTable.通过重定位表,获取原始系统服务函数地址.
关闭cr0寄存器的写保护,还原经过重定位后的系统服务函数地址.恢复cr0寄存器的写保护.