三、中毒后现象
病毒为了保护自己的MBR和VBR代码不被安全软件检测到,还会修改Disk.sys的IRP读写操作,当任意程序试图读取MBR或者VBR时,都会返回没有被病毒修改的原始MBR和VBR。
△修改Disk.sys的IRP读写操作
系统启动后,病毒会通过注册进程通知和映像通知,在浏览器启动时向浏览器中注入一个病毒动态库文件,下文简称Injector.dll。火绒剑检测"内核通知"如下图所示:
△内核通知
如果是Win7以上系统,最终要劫持到的网址保存在系统盘符下"ProgramDataSoftSecuritysnock.cfg"文件中,其中deliver 为加密后的网址,解密方法为每个字节加0xfc,保留一字节大小,snock.cfg文件内容如下图所示:
△snock.cfg文件
上一篇:使用斗鱼直播伴侣的使用教程方法
网友评论(共有 0 条评论)
