C:\Program Files\Tencent\QQ\npkcrypt.sys
C:\Program Files\Tencent\QQ\npkycryp.sys
初一看路径和文件名是一样的,请注意蓝色的部分:
npkcrypt.sys
npkycryp.sys
仔细比对这文件原来是粗略的看下的话,两个文件差别不大,不会引起注意.
注意npkcrypt.sys控件正确位置:
07版 X:\Program Files\Tencent\QQ\qqedit\
06版 X:\Program Files\Tencent\QQ\和C:\WINNT\system32\qqedit\
后来查找发现:
C:\Program Files\Tencent\QQ\npkycryp.sys(QQ根本无此文件)!
文件信息:
正常文件:
(WINDOWS 2000)中安装的2006版,C:\Program Files\Tencent\qq\下释放两个sys文件:
[MD5=8bcb281a2540e7aff0cd00f9878fe21f]
(WINDOWS 2000)中安装的2006版,C:\Program Files\Tencent\qq\下释放两个sys文件:
[MD5=8bcb281a2540e7aff0cd00f9878fe21f]
不正常的文件:
O41 - npkycryp - npkycryp - C:\Program Files\Tencent\QQ\npkycryp.sys - (not running) - - -
O41 - npkycryp - npkycryp - C:\Program Files\Tencent\QQ\npkycryp.sys - (not running) - - -
[MD5=cab3f211df47ebbe6dd3d9c9995060ad] npkcusb.sys
C:\WINNT\system32\qqedit\下面释放两个sys文件
[MD5=cab3f211df47ebbe6dd3d9c9995060ad] npkcusb.sys
[MD5=e2ccef92d4acf3de8deb8b3cb08811e2] npkcrypt.sys
07版
npkcrypt - nProtect KeyCrypt Driver - C:\WINDOWS\system32\qqedit\npkcrypt.sys - (not running) - nProtect KeyCrypt Driver - INCA Internet Co., Ltd. - e2ccef92d4acf3de8deb8b3cb08811e2
发现它是在分析一个网友的诊断报告时候发现同一个.SYS文件.一个显示在运行,另一个显示未运行。
吓一跳啊,伪装的技术真厉害,利用文件位置或者名字微小的区别就可以把程序伪装在其他文件下面!
