观后感常见失误,现在机器狗 为什么能穿透冰点!

观后感常见失误目录

家装中挂画一般挂多高

现在机器狗 为什么能穿透冰点!

家装中挂画一般挂多高

家装中挂画一般挂1.5-1.7米高。

1.装饰画悬挂的高度应以装饰画的中心线为准，在我们的视觉水平线上，这样的高度能达到最佳装饰效果。

2.在选择装饰画之前，需要注意墙面与装饰画之间的比例，如果装饰画选择悬挂在沙发上方，装饰画的面积不要过大，以免有头重脚轻的感受。

3.装饰画的宽度最好不要超过沙发的宽度，比例匀称才能得到最佳装饰效果。

4.其次，我们在选择装饰画的时候，一定要把想要悬挂的周围环境考虑进去，根据周围的环境来决定装饰画的颜色和高度，这些环境包括沙发旁的书柜、窗户、落地灯等。

5.我们可以了解到客厅沙发后面挂画的尺寸大小与悬挂高度，每个人家里客厅空间的不同，所需挂画的大小等也不相同，不过常见的挂画选择还是以寓意吉祥的山水画为主。

现在机器狗 为什么能穿透冰点!

最近看见大家都很热注机器狗IGM等一系列穿还原病毒。

。

其实工作原理也就不过如此而已。

。

当然，只这是我个人看法。

问了安全起见，本帖子凡是危害到网吧信息，或者有害的程序，本人将小隐下。

自机器狗出生以来

以有很多人说它是一个可以穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，一直到07年8月29日有人在某社区里贴出了这个样本。

这个病毒起初没有名字，图标是SONY的机器狗阿宝，很像前辈熊猫烧香一样，所以大家给它起了个名字叫机器狗。

其工作原理

机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。

然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。

相信这些危害现在以有不少网吧都深有感受了吧。

下面本人呢对穿透还原的工作原理做下分析

若有不正确的地方，老鸟莫笑...

首先样本脱壳

OD加载样本explorer.exe，

对GetModuleHandleA下断，参数为NULL时即为入口点处对此函数的调用，

退出CALL之后可以得到入口为 004016ED。

重新加载样本，对004016ED下内存写入断点，中断后StepOver一步，然后在004016ED

下断点，F9运行到入口，DUMP。

DUMP之后不关闭OD，让样本处于挂起状态，使用ImportREC修复DUMP

出来的文件的导入表。

修复之后DUMP出来的文件用OD加载出错，使用PEDITOR的rebuilder功能重建PE之后即可用OD加载，说明

脱壳程序基本成功，但资源部分仍有毛病,无法用Reshacker查看

接着pcihdd.sys的提取

OD加载样本explorer.exe，设置有新模块加载时中断，F9运行

当ADVAPI32.DLL加载时，对CreateServiceA下断点，F9运行

当CreateServiceA中断时，就可提取出pcihdd.sys

pcihdd.sys基本流程如下

1)检查IDT的09（NPX Segment Overrun）和0E（Page Fault ）处理程序的地址

如果09号中断处理程序存在，并且处理程序地址的高8位与0E处理程序高8位不同，则把

IDT中0E的高16位设为0。

估计是检查0E是不是被HOOK了

我比较龌龊，看不懂这些操作的意思，这样不BSOD？请懂的兄弟跟帖告诉一声

2)通过搜索地址来查找自己的加载地址

查找驱动文件的资源中的1000/1000,并复制到一个全局缓冲区中

3)创建了\Device\PhysicalHardDisk0及其符号连接\DosDevices\PhysicalHardDisk0

4)只对IRP_MJ_CREATE

IRP_MJ_CLOSE

IRP_MJ_DEVICE_CONTROL

然后作出响应

其中IRP_MJ_CREATE中会断开\Device\Harddisk0\DR0上附加的设备。

这个操作会使磁盘过滤驱动、文件系统驱动(OS提供的，但一些杀毒软件也通过此渠道进行文件系统监控）及其上的文件系统过滤驱动（大多数文件访问控制和监控都是这个层次的）

在IRP_MJ_CLOSE 中对恢复DR0上的附加

在IRP_MJ_DEVICE_CONTROL中对0xF0003C04作出响应，只是把2)中找到的资源数据解密后返回到应用程序。

解密密钥是通过应用程序传入的一个串（密钥种子？）查表后产生(KEY：0x3f702d98)

0xF0003C04的作用：

将用户态传入的整个代码体作为密钥种子对这个代码体进行类似于校验和的运算后得

到4字节的解密KEY，然后使用此解密key将驱动自身携带的资源解密（仅仅是XOR），将解密,然后把结果返回给用户态。

关于解除DR0上的附加设备：

这种操作应该会影响系统正常的文件系统操作，但是因为实际操作时此驱动被打开和关闭的的间隔很短，所以应该不会有太明显影响。

explorer.exe流程

1、释放资源中的pcihdd.sys并创建名为pcihdd的服务，启动服务

2、定位userinit.exe在硬盘中的位置。

定位方法如下

1)通过FSCTL_GET_RETRIEVAL_POINTERS获取文件数据的分布信息

2)通过直接访问硬盘(\\\\.\\PhysicalHardDisk0)的的MDR和

第一个分区的引导扇区得到分区参数(每簇扇区数),配合1)中得到的信息

来定位文件在硬盘上的绝对偏移量。

这里有个小BUG，扇区大小是使用固定的512字节而不是从引导扇区中获取

3)通过对比ReadFile读取的文件数据和自己定位后直接

读取所得到的文件数据，确定定位是否正确

3、把整个代码体作为参数传递给pcihdd.sys,控制码0xF0003C04，并将pcihdd返回

的数据直接写入userinit.exe的第一簇

现在大家来看下被修改后的userinit.exe

1）查询SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell键值

2）创建Shell进程

4）对于列表中的文件每个文件，创建一个新线程下载并执行，线程计数加一（INC）

5）等待所有线程结束后（线程计数为0）结束进程。

对于线程计数的操作并不是原子操作，理论上多CPU情况下有小的概率出问题。

不过人家是写针对普通PC的病毒，多CPU不常见，也不太需要稳定.

文中所指的病毒就是一般说的新终结者