 |
腾讯搜搜地址栏搜索InstQA.sys 导致系统蓝屏问题的分析 |
|
|
| 腾讯搜搜地址栏搜索InstQA.sys 导致系统蓝屏问题的分析 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-26 8:43:41 |
|
前言
今天用安全分析专家扫描了一下电脑, 发现电脑中竟然有一个 InstQA.sys , 这个以前从没见过,非常好奇。
然后GOOGLE,BAIDU 搜索了一下, 没有找到任何资料,找到的资料都是关于这个驱动蓝屏的东东。
于是好奇心驱使我开始反汇编这个驱动,看看到底是什么东东。
分析
看一下我电脑中 InstQa.sys 的时间,是 2006/07/04 18:56:40 , 然后用TotalCmd搜索一下, 时间是
2006/07/04 的EXE文件,进行全盘搜索, 在临时目录下面找到一个EXE, 名称为 ~DF12.tmp.exe .
版本信息为
Company Name : Tencent
File Description :
File Version : 4, 1, 3, 33
Internal Name :
Legal Copyright : Copyright 2005
Original Filename :
Product Name : 搜搜地址栏搜索
Product Version : 4, 1, 3, 33
竟然是Tencent的东东。。。。
看来是tencent的搜搜地址栏搜索工具. Tencent怎么不搞聊天, 搞起这些东东了。。。
用Ida分析了一下这个驱动,
首先是获取 一些 系统服务处理函数的原始地址, 函数列表有:
ZwCreateSection
ZwOpenSection
ZwCreateFile
ZwOpenFile
ZwReadFile
ZwSetInformationFile
ZwQueryInformationFile
ZwClose
ZwCreateKey
ZwOpenKey
ZwDeleteKey
ZwDeleteValueKey
ZwFlushKey
....
NtUserSetWindowsHookEx
NtLoadDriver
NtTerminateProcess
再将系统服务处理函数的现在的地址备份起来, 然后将系统服务处理函数的地址都填上原始的函数地址。
下一步操作我就不是很明白了,
他获取到 cnsminkp.sys 的驱动的模块基址, 然后判断里面的字符串, 如果字符串是
adplus, system32,download,tencent,QQPhoneHelper,就把这个字符串改成 3721...
难道3721里面处理了tencent的东东, InstQa.sys让3721的保护失效???
最后的话是这个驱动删除自己, 删除注册表和删除文件。
这个驱动的代码中有一些有BUG, 比如获取 windows 目录的,
它竟然假设用户的操作系统都是装在C盘的。。。。
我的系统是装在F盘的, 所以我的驱动没被删除掉。
总结:
可能是作者写的驱动没怎么经过大量测试吧,
而且随意修改cnsminkp.sys的内存,也可能导致系统的不稳定性, 因此许多用户反应电脑出现
蓝屏现象。
以前微软的操作系统里面捆绑了 浏览器会被人告,为什么腾讯可以捆绑搜搜呢???
真不明白,为什么腾讯开发这些有什么用, 难道程序员太多了,找点事情给他们做做??
建议:卸载QQ重装新安装QQ2006BETA2时不安装腾讯搜搜地址栏插件,在安装的时候点慢点看清楚。把那个勾去掉。默认是选中的。。【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: QQ2006 Beta3 版本发布 附下载地址
下一篇文章: 高价QQ号只能用1天 网上虚拟交易须谨慎 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
