记得顶啊 `
无聊中来研究一下TX的反WG
用FILEMON跟踪了下DNFCHINA.EXE QQLOGIN.EXE DNF.EXE
发现了几个DD
首先DNFCHINA做的事情是啥?
文件效验
效验文件的大小啥的
效验完毕
开始读取qqlogin.exe
然后就是继续效验
效验完毕后读取dnf.exe
4096字节一读取
一直读取到整个文件结束
然后建立印象文件,也就是dnf.local
把dnf.exe加入启动代码写入dnf.local
换句话,我们玩的就是印象,而不是dnf在内存中的镜象
开始我以为这就是找不到hinst的原因
在一分析,不对啊
貌似还少了点
因为dnf.local也隐藏起来了
肯定还有其他什么DD
然后查看系统信息,查看事件日志
找到这么个DD
tessafe服务成功发送一个开始控件
这个DD哪里来的哈?
去查查系统管理里的服务项目
没啊
在去查注册表
哦,找到了
在hklm/system/currentset/service/tessafe里
有这么点DD
displayname tessafe //这个就是服务名啦
imagepath \??\c:\windows\system32\tessafe.sys //服务调用地址
start 0x0000003 //自动启动类型的
type 0x0000001 //恩,是驱动类型的
头大ing
我的C盘是NTFS的
想了下
把start改成4 //恩,禁用好了嘛
然后把system32下的tessafe.sys删除,建立一个字节为0的目录,名字改成tessafe.sys,然后加入只读系统属性
然后把访问权限改成禁止任何人运行(包括administrators组 和 system)
重新启动
在查下日志,恩,服务没启动
刚想HAPPY下
进游戏看看
?还是被封?还有啥问题呢
在查下日志,MMD,他又开下来了
不过这次路径换成了 e:\dnf\tessafe.sys了
晕,忘记他的校验了
其实只要想办法禁止dnfchina访问注册表就好。。
比如说用普通权限(USERS组)运行啥的
或者说HOOK那些注册表函数
人比较懒,等会说
其实如果不加载成服务的话
啥都能杀
所以这步其实蛮关键的
然后又想了下
用IDA把tessafe.sys反汇编了下
看看这DD到底做虾米的
恩,引入模块有2个:
ntoskrnl.exe和hal.dll
真TMD黑
简单看了下
也就是建立一个列表
服务启动后
所有新建立的进程(也就是你们说的程序啦)
都会在里面做个表
然后HOOK住查找进程的函数
查看有这几类:
查找其他进程句柄的,插int3的(动态调试),调用SOCK函数的
恩,在划分一块内存区域
把这些DD写里面
在把自己卸载了
让你没法查出来
也没法找出内存地址
恩,真黑
中间还加了不少花指令
但这种方法是虾米意思?
编程的都知道
他自己放弃了指针
自己都找不到那块内存地址
这叫离散指针。。。
这块内存在重启前是别想找到了
WINDOWS的内存管理里很明确的说明了这种方法是很危险的
你不知道不受控制的内存里面有啥危险。。
于是蓝屏 100%CPU都发生了。。。
顺便说下。。。DNFchina还检查你的桌面和IE的设置情况。。。然后在发送到TX去
让TX的做统计
没这些数据估计TX也做不到那么大
但这些都是在没告诉你的情况下偷偷进行的
也许那啥用户协议里有
不过估计没几个会看的
说到低,说啥呢
想要干掉这个DD,首先得不让他成为服务
别让他加载
想不死机不蓝屏 把注册表删了重新启动后就别动DNF。。。
或者想办法让他不访问注册表
因为这是他唯一的加载方法
就这么多了 PS;你们别说我转帖子了这个不是小晟的原帖!`
帖子沉了也没什么`!
我这个帖子总比 那些发过期文件 木马 病毒 和骗人的帖子好`!
有人说解决蓝屏问题(CPU100%)就可以了.
其实蓝屏 没这么简单的! 种类太多
如果大家想了解蓝屏的话 我可以上传 关于蓝屏的所有解释以及解决方法!
有人提出了我就上传文件`!
供大家研究`!
貌似帖子发早了点`
现在18号了`! 亏`
蓝屏的原因;
在取消重启后,出现蓝屏死机。蓝屏的主要内容为:A problem has been detected ……DRIVER_IRQL_NOT_LESS_OR_EQUAL……,最后是:
Technical information:
Stop:0x000000D1(0XF97B4F59,0X00000002,0X00000000,0XF97B6F59)
ALCWDM.SYS-ADDRESS F97B4F59 Base at F9783000,Patestamp 3b28910a
STOP 0x000000D1 DRIVER_IRQL_NOT_LESS_OR_EQUAL (0x0,0x0,0x0,0x0)
参数
1 - 引用的内存
2 - IRQL
3 - 值 0 = 读操作,1 = 写操作
4 - 引用内存的地址
原因
当启用 Driver Verifier 功能并且驱动程序使用了不正确的地址时,会发生此问题。注意错误消息中可能列出了导致此问题的驱动程序。
解决方案
要解决这个问题:
禁用所有第三方筛选器驱动程序 (filter driver),例如备份程序、病毒扫描程序和磁盘实用程序。
确保您使用的硬件出现在 Microsoft 硬件兼容列表中。
[ 此贴被kiss-在2008-10-18 01:25重新编辑 ]
