会在注册表的HKLM\SYSTEM\CurrentControlSet\Services\下写下同驱动名的一个值,把自己注册为System Bus Extend的驱动,使得它的优先级很高,即使在安全模式下加载,也使得很多想清除它的软件无效。然后通过services来加载驱动,驱动加载后,生成三个线程附加到system这个系统核心进程上,(以前的驱动是两个线程)获取最高权限。通过Process Explorer可以查看到这三个线程:
用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护》,我们今天就来实战一下。运行autoruns之后,在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“,把这两项都选中了。扫描之后,我们只看驱动(driver)这一项: