查看: 6017|回复: 30
收起左侧

[讨论] WSYSCHECK和POWERTOOL2.3 、狙剑被绕过了,天琊、YAS、SysReveal、XUETR、冰刃可测

[复制链接]
leisong
发表于 2010-10-6 13:24:36 | 显示全部楼层 |阅读模式
本帖最后由 leisong 于 2010.10.11 16:42 编辑

http://bbs.duba.net/thread-22303314-1-1.html
运行这个样本,有一个打印注入的动作,XUETR能检测出来,系统本身和WSYSCHECK以及POWERTOOL2.3都不能检测出来,进入该文件夹,不能删除该模块,初步判断确实被调用了,但可能绕过了系统和2个ARK工具的检测。

用360测试时发现该问题,驱动都被成功拦截了,应该和病毒驱动无关
每个ARK工具驱动都成功加载了,和操作无关,且为了避免ARK工具间的冲突导致不能完全检测,将系统重启重测该病毒,先打开另2个还是不能测到

麻烦谁复测一下有无该问题,当然不排除是本人RP问题,所以希望有人复测证明一下

最后发现360自身也不能查看到该DLL
Real_FlowerCode
发表于 2010-10-6 13:58:44 | 显示全部楼层
Spooler,PortableAppZ,怎么这么像 TDSS……
leisong
 楼主| 发表于 2010-10-6 14:17:14 | 显示全部楼层
回复 2楼 Real_FlowerCode  的帖子

就是一个TDSS样本,样本用括号注明了的
   
kafan988
发表于 2010-10-6 14:48:29 | 显示全部楼层
不明白啊[:26:]
kxmp
发表于 2010-10-6 15:53:31 | 显示全部楼层
回复 1楼 leisong  的帖子


    我来试试看
kxmp
发表于 2010-10-6 15:59:28 | 显示全部楼层
回复 1楼 leisong  的帖子


    我运行了
他一下就退出了
没有注入
看起来什么都没有干
dl123100
发表于 2010-10-6 17:36:29 | 显示全部楼层
显然XueTr没问题 都报隐藏了
leisong
 楼主| 发表于 2010-10-6 20:46:01 | 显示全部楼层
回复 6楼 kxmp  的帖子

这个病毒挑系统的,我换了个系统就没动作了
截图和MJ的解释在这贴里面
http://bbs.kafan.cn/thread-806674-1-1.html
我正想测试冰刃怎么样,可惜没动作了
   
leisong
 楼主| 发表于 2010-10-7 09:16:18 | 显示全部楼层
多年不更新的冰刃检测出来了,致敬!
绕过天琊
leisong
 楼主| 发表于 2010-10-7 09:29:56 | 显示全部楼层
狙剑被绕,SysReveal不断刷新假死,无法测,我再试试
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 14:32 , Processed in 0.127427 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表