125.91.1.20 4199.5009.com
125.91.1.20 www.13886.cn
125.91.1.20 www.8757.com
125.91.1.20 www.baidu345.com
125.91.1.20 www.dedewang.com
125.91.1.20 allxun.5009.cn
125.91.1.20 4199.5009.cn
125.91.1.20 yahoo.5009.cn
125.91.1.20 tom.5009.cn
125.91.1.20 zh130.5009.cn
125.91.1.20 piaoxue.5009.cn
125.91.1.20 3448.5009.cn
125.91.1.20 ttmp3.5009.cn
125.91.1.20 fx120.5009.cn
125.91.1.20 7939.5009.cn
125.91.1.20 99488.5009.cn
125.91.1.20 7333.5009.cn
125.91.1.20 www.ld123.com
125.91.1.20 www.anyiba.com
125.91.1.20 www.999991.cn
125.91.1.20 www.hao123.cn
125.91.1.20 www.3721.com
125.91.1.20 www.haol23.com
125.91.1.20 haol23.com

8.生成与子DLL同名的SYS驱动程序，驱动程序监控自身服务注册项（独立线程监控、WINLOGON启动时监控），如果被安全软件修改，病毒会再改回来。

9.IRP HOOK最底层的文件系统（IRP_MJ_SET_INFORMATION），保护文件，不能删除，不能更名。

10.挂钩ZwCreateFile，在其访问system32driversetchosts时，将该访问操作重定向到%sys32dir%andttrs。相当 于用这个andttrs取代了系统的hosts文件，达到跟修改HOST文件相同的效果，用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。

11.挂钩ZwLoadDriver,禁止ICESWORD（冰刃）的驱动加载。

上一页  [1] [2] [3]