您当前的位置:首页 > 职场资讯 > 职场攻略

网上怎么查询我老公有没有出轨 如何破解破解女友的微信密码

来源:固始人才网 时间:2020-06-30 作者:固始人才网 浏览量:

键盘记录器,此病毒是一个Rootkit病毒,由C语言编写的过滤驱动程序,提供键盘按键记录功能,该Rootkit病毒近期多次被Trojan.PSW.Win32.GameOnline病毒使用……   此病毒是一个Rootkit病毒,由C语言编写的过滤驱动程序,提供键盘按键记录功能。   该Rootkit病毒近期多次被Trojan.PSW.Win32.GameOnline型的病毒释放使用,在该病毒体内可以看到“C:\new-gamehack\GameHack\Driver\bin\i386\mssock.pdb”的字样,从编译路径可以看出该Rootkit显然是作者特意为盗取游戏密码病毒所写。   1、该病毒驱动程序入口函数执行如下操作:   (1) 检查系统是否存在USB键盘设备:病毒首先通过调用ObReferenceObjectByName函数得到\Driver\hidusb的驱动对象,然后遍历该驱动对象创建的功能设备的设备链。对设备链上的每个设备对象,遍历其所在的设备栈,对设备栈上的每个设备对象,通过 DEVICE_OBJECT->DriverObject->DriverName获取每个设备的驱动名称,比较是否是Driver\kbdhid,如果找到表示有USB键盘设备,得到USB键盘设备对象的指针。   (2)对键盘设备挂接过滤驱动:建立名称为“\Device\mssock”、符号链接名为“\??\mssock”、类型为“FILE_DEVICE_UNKNOWN”的设备,然后通过调用函数IoAttachDeviceToDeviceStack将该设备挂接到键盘设备所在的设备栈。   对于USB键盘设备,挂接的目标设备为通过前面搜索得到的USB设备对象。对于没有USB键盘设备的情况,通过调用IoGetDeviceObjectPointer获取名称为“\Device\KeyboardClass0”的PS/2 键盘设备作为目标设备。   (3)填写功能函数地址:填充卸载例程及各个IRP处理例程回调。   2、病毒的IRP_MJ_READ处理例程:设置完成例程后直接调用IofCallDriver向下一设备传递IRP   3、病毒驱动设立的对键盘读的irp包的完成例程:在该完成例程中,病毒驱动实现了获取并记录键盘按键的功能。病毒将读到的按键记录到缓冲区(通过DEVICE_OBJECT.DeviceExtension传递地址)。同时病毒作者在这里和IRP_MJ_DEVICE_CONTROL例程中通过写0x60端口发送命令控制键盘NumLock灯的开闭,可能是作者为了调试时能够方便的知道其过滤驱动的工作情况。   4、病毒驱动的IRP_MJ_DEVICE_CONTROL处理例程:在这个处理例程中,病毒对值为“0x 80102180”和“80102184”的IOCTL进行了处理。对于IOCTL = 0x 80102180 , 进行初始化处理,如清空记录缓冲区、计数器等。对于IOCTL = 0x 80102180 ,病毒将把在缓冲区中记录的按键扫描码返回给调用者。使用这个rootkit的程序可以调用DeviceIoContro函数进行控制和读取按键记录。   5、卸载例程:   调用IoDetachDevice摘除过滤设备   调用IoDeleteSymbolicLink删除符号链接   检查是否有IRP未完成且IRP有效则调用IoCancelIrp尝试取消这个IRP,如果取消IRP失败则等待直到有下一次IRP然后取消。   调用IoDeleteDevice删除设备。   由于该驱动在卸载例程中安全地删除了过滤设备并尝试取消未完成的IRP,所以该Rootkit可以被安全地卸载。不过一般的病毒作者很少会给用户留下安全的卸载例程,所以怀疑该Rootkit是作者从网上抄来的代码,作者有可能甚至不了解该驱动真正的工作原理。   安全建议:   1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。   2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 

分享到:
微信公众号
手机浏览

固始人才网,让招聘更简单! 7×24小时QQ在线:850115555 苏ICP备12049413号

地址:信阳市八一路与新华路交汇处金源大厦 EMAIL:suihongkun@qq.com

Powered by PHPYun.

用微信扫一扫