向驱动发送IO控制码的方式结束相关进程------这种方式是什么时候开始流行的？

chujunci

比如，这里有一个病毒X，其有下面几个行为：

1.病毒检查当前模块所在进程是否为360tray.exe，如果是则创建一个名为"360XXXX"的设备，通过发送IO控制码的方式控制绕过360tray.exe的检测，完成后，退出程序。



2.查找当前系统中是否存在进程"360tray.exe"，如果有，则
将%SystemRoot%system32qmgr.dll复制为%SystemRoot%system321l1.dll,将%SystemRoot%system321l1.dll注入到目标进程空间，从而第一步的内容得到执行，完成后，删除%SystemRoot%system321l1.dll，同时清空hosts文件。


完成以上动作后，病毒会创建多个线程执行不同操作：

3.将XXXX.dll对应的BITS服务启动类型设置为自动。
    删除如下HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork破坏安全模式


4.然后在临时文件夹内创建一个名为XXXX.sys的驱动，创建名为XXXX服务，并启动服务。查找相关杀毒软件或安全软件进程，并向驱动发送IO控制码的方式结束相关进程。

dyhua

是AV终结者吗？

alfchin13

dyhua 发表于 2012-7-7 09:59
是AV终结者吗？

比av终结者的技术先进了好几代

北冥神犬

09年末好像就有了，流行应该是10年之后的事。