Total Pageviews

Tuesday, 14 February 2012

mchinjdrv.sys是什么?

  不指定

说起来mchinjdrv.sys是某个API Hook系统的组件,国外的智能HIPS软件在其产品ThreatFire软件中应用了该HOOK系统,当然,著名的灰鸽子也用到了该HOOK API系统,所以你的电脑上有这个文件到底是ThreatFire的驱动还是那鸽子,就看你有没安装类似的软件了。

ThreatFire在09年一月28日更新病毒资料库以后NOD32杀毒的监控开始报告这种文件"木马",NOD32同时也提示删除了该种"危险文件",不过在NOD32防病毒软件的隔离里面貌似没有看到隔离出来的SYS文件。

简单说下,帮朋友检查电脑,发现电脑上的某很牛的打牌杀软报c:\windows\system32\drivers\mchinjdrv.sys
开 始认为中了病毒,但用几种检查工具检查 +上网查资料后发现这个不过是个madcodehook的组件,一个API Hook系统 ,除了病毒等恶意程序会用到外(所以杀软会报,很理解),正常的程序也会用到。朋友的电脑上就是一个mamutu+某牛杀软,呵呵。大家可以问问身边的编 程达人,他们一定很清楚了。
    貌似以前装那个什么鹰(tf的前身)也是一样的,呵呵。不用说,大家都知道了,这个驱动就是mamutu带来 的(驱动描述就是dll插入hook,安装了mamutu的饭友们可以查查自己电脑上有没有这个驱动),奇怪,为什么mamutu的母公司不自己编写一个 API Hook系统,而要采用现成的呢?(为了防止有人利用来编写恶意程序,madcodehook的作者给免费版本做了限制,但仍然有人用它编写恶意程序,比 如某鸽)


NOD32 2.7版(病毒库特征码是1月27日) 报mchinjdrv.sys为病毒并提示删除mchinjdrv.sys.

mchinjdrv.sys相当的顽强,电脑正常启动后它就伪装成启动载入后然后消失掉。在关机重启后又重新出现。跟灰鸽子的表现和文件名都出奇的一样。如果不是安装了ThreatFire 的请在网上搜索该文件名以及灰鸽子字样处理。

No comments:

Post a Comment