病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« kmon.dllAntiyNF.sys »

Xprotector.sys

[XPROTECTOR / XPROTECTOR][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Xprotector.sys><N/A>

网上该文件的相关信息:

一、老外的XPROTEXTOR加壳保护的软件。
这个和DBPE保护层次上差不多,但狠毒劲则比DBPE过之。
总体上来说:
1、XPRO与DBPE一样,都是利用驱动程序来在WINNT系统上获得R0级权限。
2、XPRO截获所有异常,而DBPE只改INI3 AND INT2A。
3、XPRO在驱动内还采用了机器指令缓存的方法来ANTI-DEBUG。这一点是很重要的,如果不克服这个跟入驱动你就会发现:JMP EIP。这样的东西。
4、XPRO驱动程序设置为:SERVICE_AUTO_START 0x00000002
DBPE驱动程序为: SERVICE_DEMAND_START 0x00000003
这一点可以在注册表内的:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\xprotector\下看到
也就是说:XPRO的驱动程序是随系操作系统启动而启动的而DBPE的驱动则是程序控制启动。就是说,XPRO的驱动程序xprotector.sys在加壳程序运行结束后还是可以在\??\??\windows\system32\driver\这个文件夹中找到的,这一点上,XPRO就给了我们可以方便修改xprotector.sys的机会以对付ANTI-DEBUG代码和驱动内的花指令。

二、可能是安装智能ABC后5.22版后,它在系统上加载的一个驱动(Xprotector壳获取Ring0级权限的驱动,用于加壳软件的保护?)。一般来说没有什么危害,当然也可以把这个驱动卸载(我的电脑-属性-硬件-设备管理器-查看-显示隐藏的设备-非即插即用驱动程序-找到Xprotector,右键选择卸载,重启计算机即可,到C:\WINDOWS\system32\drivers文件夹下删除Xprotector.sys,并删除其在注册表中遗留的信息。

三、xprotector.sys一个硬件壳的驱动


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/121.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号