mchinjdrv.sys是什么?-说起来mchinjdrv.sys是某个API Hook系统的组件,国外的智能HIPS软件在其产品ThreatFire软件中应用了该HOOK系统,当然,著名的灰鸽子也用到了该HOOK...

谷子猫博客

一个简单爱分享的小站!^_^!
首页>> 技术文档 >>mchinjdrv.sys是什么?
2009-1-28
分类: 技术文档

mchinjdrv.sys是什么?

文章作者:谷子猫
手机扫码查看

说起来mchinjdrv.sys是某个API Hook系统的组件,国外的智能HIPS软件在其产品ThreatFire软件中应用了该HOOK系统,当然,著名的灰鸽子也用到了该HOOK API系统,所以你......

说起来mchinjdrv.sys是某个API Hook系统的组件,国外的智能HIPS软件在其产品ThreatFire软件中应用了该HOOK系统,当然,著名的灰鸽子也用到了该HOOK API系统,所以你的电脑上有这个文件到底是ThreatFire的驱动还是那鸽子,就看你有没安装类似的软件了。

ThreatFire在09年一月28日更新病毒资料库以后NOD32杀毒的监控开始报告这种文件"木马",NOD32同时也提示删除了该种"危险文件",不过在NOD32防病毒软件的隔离里面貌似没有看到隔离出来的SYS文件。

引用


简单说下,帮朋友检查电脑,发现电脑上的某很牛的打牌杀软报c:\windows\system32\drivers\mchinjdrv.sys
开始认为中了病毒,但用几种检查工具检查 +上网查资料后发现这个不过是个madcodehook的组件,一个API Hook系统 ,除了病毒等恶意程序会用到外(所以杀软会报,很理解),正常的程序也会用到。朋友的电脑上就是一个mamutu+某牛杀软,呵呵。大家可以问问身边的编程达人,他们一定很清楚了。
    貌似以前装那个什么鹰(tf的前身)也是一样的,呵呵。不用说,大家都知道了,这个驱动就是mamutu带来的(驱动描述就是dll插入hook,安装了mamutu的饭友们可以查查自己电脑上有没有这个驱动),奇怪,为什么mamutu的母公司不自己编写一个API Hook系统,而要采用现成的呢?(为了防止有人利用来编写恶意程序,madcodehook的作者给免费版本做了限制,但仍然有人用它编写恶意程序,比如某鸽)


NOD32 2.7版(病毒库特征码是1月27日) 报mchinjdrv.sys为病毒并提示删除mchinjdrv.sys的示意图:
点击在新窗口中浏览此图片

mchinjdrv.sys相当的顽强,电脑正常启动后它就伪装成启动载入后然后消失掉。在关机重启后又重新出现。跟灰鸽子的表现和文件名都出奇的一样。如果不是安装了ThreatFire 的请在网上搜索该文件名以及灰鸽子字样处理。

×

感谢您的支持,我们会一直保持!

扫码支持
请土豪扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

打赏作者
版权所有,转载注意明处:谷子博客 » mchinjdrv.sys是什么?
标签: 教程

发表评论

路人甲

网友评论(0)