提前申明:本文只做技术交流,没有其他目的。

分析的是2010-08-17从官方下载的版本。

运行360FileKiller.exe,会释放一个文件名随机的exe,例如FC9638FFCEFC.exe,关闭360FileKiller.exe前FC9638FFCEFC.exe会被删除。可以在360FileKiller.exe关闭前将该文件复制一份,以便分析。点击“粉碎选中文件”后会释放%SystemRoot%system32\drivers\360IceBreaker.sys,该驱动被加载后立即被删除。为了捕获该驱动文件,可以在DeleteFileA上下断即可。

分析的比较全面,附件中是IDA5.2 的idb。由于时间仓促,错误之处在所难免,欢迎拍砖

上传的附件 360IceBreaker.rar