转贴』如何查找通过修改系统文件达到开机启动的病毒？

百度笨笨

转自剑盟社区。

前两天，每天上午开机过后，在浏览正常的网页的时候，忽然电脑反应慢，接着卡巴就发现电脑中有大量的病毒出现。杀毒后，整天没事，可第二天上午开机后又是这样。

1、排除ARP欺骗。开始以为是ARP欺骗，于是临时装了ARP防火墙，并开了影子。但中毒过程中并未发现ARP欺骗。

2、查找台前病毒文件。用wsyscheck检查，在进程svchost(对应的服务是server--服务名称是lanmanserver和workstation－－服务名称是lanmanworkstation）的模块中发现未知模

块gdimnt.dll,好像是在68端口监听。但这个文件在注册表中没任何信息。删除这个模块后系统不再下载病毒了。但我要找到幕后黑手――这个模块是如何调用的？

3、确认存在幕后黑手。先拷贝ntdll.dll为gdimnt.dll，重启后果然在进程中发现了gdimnt.dll。

4、查找幕后黑手。用系统自带的命令sigverif检查系统文件的数字签名情况，结果找到四个文件未通过验证，其中三个在前几天和大家讨论的时候查过，是安全的，没问题，于是

把怀疑的目标指向dmserver.dll，这个文件对应的服务是“逻辑磁盘管理服务”，分别进入360文件诊所和卡卡文件诊所，查到这个正常文件的MD5值，与我的不同。

4、确认幕后黑手。于是用OD（不好意思，刚学着用它，而且没有基础，完全是看字符串）打开这个文件，想看一下字符串中有没有gdimnt.dll，打开超级字符串参考，查找不到。

我疑惑了。没办法，只好另辟蹊径，用通过验证的dmserver.dll替换掉可疑的同名文件，重启后，系统不再调用gdimnt.dll。但反过来，把可疑的dmserver.dll替换虚拟机上的正常文

件，并copy ntdll.dll gdimnt.dll（原来没说清楚，只说是用一个假文件），可重启后系统并未调用gdimnt.dll。有点疑惑。

5、向高手请教。昨天看到小聪来了，连忙向小聪请教――小聪人真不错，水平高又很谦和。小聪分析后马上给了回复（辛苦小聪了）。我看了下，在字符串中有gdimnt，不是

gdimnt.dll！于是我再运行OD，在超级字符串参考中找，可找不到gdinmt。于是把反汇编的代码全部复制到记事本中查找，终于找到gdimnt这个字符串了。

总结：通过这番折腾，我终于学会了OD的一点点技巧了。


个人补充：OD可是一个很好用的破解软件呀。。