提前申明:本文只做技术交流,没有其他目的。
分析的是2010-08-17从官方下载的版本。
运行360FileKiller.exe,会释放一个文件名随机的exe,例如FC9638FFCEFC.exe,关闭360FileKiller.exe前FC9638FFCEFC.exe会被删除。可以在360FileKiller.exe关闭前将该文件复制一份,以便分析。点击“粉碎选中文件”后会释放%SystemRoot%system32\drivers\360IceBreaker.sys,该驱动被加载后立即被删除。为了捕获该驱动文件,可以在DeleteFileA上下断即可。
分析的比较全面,附件中是IDA5.2 的idb。由于时间仓促,错误之处在所难免,欢迎拍砖
- 标 题:360 超级文件粉碎器 1.6 驱动分析
- 作 者:xiep
- 时 间:2010-08-18 22:16:33
- 链 接:http://bbs.pediy.com/showthread.php?t=118760