在木马驱动的DriverEntry的调用处,直接设置rip跳过他
发现开机进不去了
!process fffffa8005524910查看winlogon进程在等什么
看到winlogon的这个线程,在这里发起了一个RPC调用,在等对方进程(svchost)回复
看看winlogon所等待的 IO端口有哪些线程
先attach到fffffa8005715b30进程,然后看到在这个Io端口上的四个线程,
一个个看线程栈,马上发现就Cid 03c0.0160 的这个线程栈与众不同,它进临界区,需要锁
u一下进入临界区这个函数的返回地址,看到它需要ntdll!LdrpLoaderLock这个锁:
!cs看看是谁占用了临界区的锁
看看svchost中的0x404号线程占用了锁,但它还有心情在这里sleep
看一下反汇编,怀疑是某狐dll注入进来的代码:
!address 0x98b0c1看看这个模块信息:
Dump 出木马dll模块内存:
Ida看看木马dll sleep在等什么,原来是在等成功打开驱动设备对象——驱动不加载,它就不退出死循环: