今天用XT扫了下，发现如下

左寒

原帖由 yhjtj 于 2009-5-8 11:55 发表


高手出现了，我这个半吊子可以闪了。
lz，我们都火星了。

呵呵

一起看伊尺千夏去吧~~~~

不过，ISO文件达到4GB之大，，，上传辛苦，你下载也辛苦，不如我把已经转换到AVI格式的PP传上去吧（PS：可惜分辨率好像只有320×214）。。。

[ 本帖最后由 左寒 于 2009-5-8 12:21 编辑 ]

dl123100

第一幅的图中挂钩位置指向“——”的inline hook，跟XueTr的检测方式有关，用别的工具可能查不出。
后面的一个8位随机驱动和spXX都是安装了daemon tools后的结果。
FSD的未知模块就是spXX.sys。

左寒

哦，，
原来是这样！！
谢谢大侠！！！

怪就怪我见的太少，对这些文件不了解。。。
可是话又说回来，
既然只是虚拟光驱，那为何会用到inline hook呢？？？
前阵子上网看到不少资料，貌似一般程序极少会利用inline hook。。。

左寒

再问大侠！！

在系统中断表里的12个 未知模块也都是daemon tools的？

[ 本帖最后由 左寒 于 2009-5-8 12:08 编辑 ]

yhjtj

你那个acxs0koy.sys找到么了么？
谢谢了，4GB太大了，我这里1m带宽几个人在用，只有羡慕了。

[ 本帖最后由 yhjtj 于 2009-5-8 12:20 编辑 ]

左寒

原帖由 左寒 于 2009-5-8 11:15 发表


再次感谢楼上的关注和帮助！！
在内核模块处找到了该文件，对文件进行校验数字签名，通过。
可是，还有疑问就是我想定位文件进行查看的时候为何提示“不存在，或者是无效目录”？？

yhjtj

我ls已经回答了一部分，可不知是不是正确，正确答案还请高手作答，我搬板凳去。

dl123100

daemon为了对抗starforcce这样的防盗版软件，才使用更为底层的技术绕过starforcce的检测。inline hook现在到处都是，很普遍。
idt hook有几个确实是sptd的，其它的可能是键盘、鼠标驱动之类挂上的。

gxrsprite

都是deamon tools 惹得祸

左寒

也光别怪它，谁让咱是小白呢。。。