大神在吗怎么全是红色的有没有问题

显示全部楼层 · 发表于 2015-11-10 10:37:59

[PC Hunter Standard][SSDT]: 21
序号函数名称当前函数地址 Hook 原始函数地址当前函数地址所在模块
66 NtCreateFile 0x8900EFAC ssdt hook 0x8425EE82 C:\Windows\system32\drivers\QQFrmMgr.sys
75 NtCreateNamedPipeFile 0x89011E90 ssdt hook 0x8429E086 C:\Windows\system32\drivers\QQFrmMgr.sys
84 NtCreateSection 0x890121AA ssdt hook 0x84244CE3 C:\Windows\system32\drivers\QQFrmMgr.sys
87 NtCreateThread 0x89010260 ssdt hook 0x842EEBCE C:\Windows\system32\drivers\QQFrmMgr.sys
88 NtCreateThreadEx 0x89010368 ssdt hook 0x8424CD51 C:\Windows\system32\drivers\QQFrmMgr.sys
102 NtDeleteFile 0x8900F3AE ssdt hook 0x841CE9EC C:\Windows\system32\drivers\QQFrmMgr.sys
179 NtOpenFile 0x8900F0CC ssdt hook 0x8428E5C4 C:\Windows\system32\drivers\QQFrmMgr.sys
190 NtOpenProcess 0xAE8DB840 ssdt hook 0x84295531 C:\Windows\system32\drivers\PECKP.SYS
215 NtProtectVirtualMemory 0xAE8DB9CA ssdt hook 0x84293C41 C:\Windows\system32\drivers\PECKP.SYS
217 NtQueryAttributesFile 0x8900F470 ssdt hook 0x84276B48 C:\Windows\system32\drivers\QQFrmMgr.sys
266 NtQueryValueKey 0x8900FD0E ssdt hook 0x8428F70E C:\Windows\system32\drivers\QQFrmMgr.sys
269 NtQueueApcThread 0x89010552 ssdt hook 0x84200AF1 C:\Windows\system32\drivers\QQFrmMgr.sys
277 NtReadVirtualMemory 0x89011602 ssdt hook 0x84297B79 C:\Windows\system32\drivers\QQFrmMgr.sys
303 NtResumeProcess 0x89011374 ssdt hook 0x842F08D3 C:\Windows\system32\drivers\QQFrmMgr.sys
304 NtResumeThread 0x890108CC ssdt hook 0x84285FCF C:\Windows\system32\drivers\QQFrmMgr.sys
316 NtSetContextThread 0x89010488 ssdt hook 0x842EFCD3 C:\Windows\system32\drivers\QQFrmMgr.sys
329 NtSetInformationFile 0x8900F2C8 ssdt hook 0x84263EB3 C:\Windows\system32\drivers\QQFrmMgr.sys
368 NtSystemDebugControl 0x8901260A ssdt hook 0x8421D2FC C:\Windows\system32\drivers\QQFrmMgr.sys
370 NtTerminateProcess 0x89010E92 ssdt hook 0x84275B3D C:\Windows\system32\drivers\QQFrmMgr.sys
385 NtUnmapViewOfSection 0x89011FCA ssdt hook 0x8428FCDC C:\Windows\system32\drivers\QQFrmMgr.sys
399 NtWriteVirtualMemory 0x89011436 ssdt hook 0x8429B5B5 C:\Windows\system32\drivers\QQFrmMgr.sys

显示全部楼层 · 发表于 2015-11-10 10:55:49

你有么有想过你不给样本大家怎么知道有没有问题。

显示全部楼层 · 发表于 2015-11-10 12:28:15

没有事啊，大部分是腾讯管家的钩子

显示全部楼层 · 发表于 2015-11-10 12:28:38

欧阳宣发表于 2015-11-10 10:55
你有么有想过你不给样本大家怎么知道有没有问题。

看看人家的截图，就知道了

显示全部楼层 · 发表于 2015-11-10 12:32:32

shulun743 发表于 2015-11-10 12:28
看看人家的截图，就知道了

你也厉害，看文件名就知道是腾讯的文件。

显示全部楼层 · 发表于 2015-11-10 12:38:01

请选中你觉得可以的文件，右键，查看文件属性。
检查文件是否有腾讯的数字签名（针对QQFrmMgr.sys），数字签名是否有效。
检查PECKP.SYS的文件属性，是否为邮政银行的网银键盘保护驱动。

也可以打包这两个文件，上传下我们给你分析

显示全部楼层 · 发表于 2015-11-10 12:55:52

pal家族发表于 2015-11-10 12:38
请选中你觉得可以的文件，右键，查看文件属性。
检查文件是否有腾讯的数字签名（针对QQFrmMgr.sys），数字 ...

好的大神

显示全部楼层 · 发表于 2015-11-10 13:06:18

存在ssdthook是很正常的现象，在32位系统中很多程序都会用到这个，比如杀毒软件和各种管家，可用于实时监控，貌似软件里不是微软的模块都是红色，我这里也一片红，看看挂钩的函数名称，就知道杀毒软件在监视什么了，回复掉的话可能影响杀软功能，比如恢复后面的object钩子，杀软的自我保护就会失效

显示全部楼层 · 发表于 2015-11-10 13:15:17

qepwq9158 发表于 2015-11-10 12:55
好的大神

大神帮忙检测一下

显示全部楼层 · 发表于 2015-11-10 13:16:50

温馨小屋发表于 2015-11-10 13:06
存在ssdthook是很正常的现象，在32位系统中很多程序都会用到这个，比如杀毒软件和各种管家，可用于实时监控 ...

我也没装什么杀毒就装了个电脑管家

[病毒样本] 大神在吗怎么全是红色的有没有问题

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块

[病毒样本] 大神在吗 怎么全是红色的 有没有问题

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块

[病毒样本] 大神在吗怎么全是红色的有没有问题