首页
论坛
课程
招聘
[系统底层] [讨论]spjq.sys 是个啥东西?见多识广的进来研究下.
2008-10-20 13:36 5309

[系统底层] [讨论]spjq.sys 是个啥东西?见多识广的进来研究下.

2008-10-20 13:36
5309
就是这个东西


NtQueryValueKey,NtQueryKey,NtSetValueKey,NtCreateKey等等都被它挂了
是个啥玩意啊..

需要我提供更多的信息回帖告之,我补充上来.

[公告]请完善个人简历信息,招聘企业等你来!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (6)
雪    币: 2058
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
书呆彭 活跃值 6 2008-10-20 13:49
2
0
这个不好说,如果只是钩了注册表相关的系统调用,而没有钩键盘、文件等,可能是个注册表监控程序。

谷歌上查了下,一个国外的论坛上有过对它的讨论,他们也没结论,只是推测。下面的是谷歌翻译的。

SSDT spjq.sys ZwEnumerateKey [0xBA6C8CA2] SSDT spjq.sys ZwEnumerateKey [0xBA6C8CA2]
SSDT spjq.sys ZwEnumerateValueKey [0xBA6C9030] SSDT spjq.sys ZwEnumerateValueKey [0xBA6C9030]

---- Devices - GMER 1.0.14 ---- ---- Devices - GMER 1.0.14 ----

... normalnym jeśli są wirtuale. normal if they are virtual. Te losowe sterowniki sp*.sys (najwyraźniej derywacja od sptd.sys) zawsze występują z wirtualami. These random drivers sp *. sys (apparently derivation from sptd.sys) always makes a wirtualami. To zjawisko zaczęło tu pojawiać się na forum b. świeżo, dopiero co. This phenomenon began to appear here on the forum b. fresh, just. Ich nazwy ulegają zmianie sesyjnie tzn. od resetu komputera do resetu. Their names have been changed sesyjnie ie reset the computer to reset.

可以参考下。

如果能找到文件的磁盘映像,可以用IDA来分析一下,大概就有点眉目了。
雪    币: 206
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fireworld 活跃值 2008-10-20 13:58
3
0
[QUOTE=;]...[/QUOTE]
虚拟光驱?安装以后出现的吗
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
QIQI 活跃值 1 2008-10-20 14:42
4
0
deamon tools的变形驱动,无害
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
athlor 活跃值 2008-10-20 15:53
5
0
这你也知道..  好厉害.
佩服..
雪    币: 2058
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
书呆彭 活跃值 6 2008-10-20 21:10
6
0
你没有仔细看我给出的参考内容吧,上面已经说这个文件是sptd.sys的变形了。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
athlor 活跃值 2008-10-20 22:35
7
0
嗯.也非常感谢你提供的资料.怎么联系,以后有问题还想多请教你下.给个邮箱吧,呵呵
游客
登录 | 注册 方可回帖
返回