火绒，独立升级病毒库~~查杀一个绕过windows密码检查机制的bootkit 病毒工具

china_killer

            li13911 同学，提交的样本确实是一个bootkit 工具~~具有危险性，火绒系统加固需要后续版本再加强MBR
防护，所以紧急升级一个病毒库查杀该样本。请大家立即升级火绒病毒库查杀！！！！


     感谢li13911同学~~


   简单说： 你设置windows登录密码了，攻击后就不用密码用你的电脑系统。。。

该样本可以通过修改MBR来攻击绕过、WINDOWS密码验证体系~~~ 是一个标准BOOTKIT ,同时病毒作者也不避讳的在样本里标明是bootkit ~~~

Flameocean

大哥这个不是病毒，只是大肉鸡同学他的一个思路,而且一般人即使双击运行也毫无危害，因为没有带参数。
呵呵，别人是一个思路，你明明就知道这个人，还当作不认识，别人免费帮助了一下火绒，你升级就升级，别来个大标题，呵呵，把人家360人员写的一个工具当作病毒，还标新立异的更新病毒库来查杀，哈哈,另外VTOW不说经常说这些没有实际威胁的样本不查杀吗，不入库吗，口口声声说只查杀有危害的，这个样本（工具）本来就没有实际威胁，你还拿去样本升级，唉，做的和说的不一样啊！
你可以不高兴我发表的意见，你更新就更新，何必这样高调还故意这样说反话呢，哄哄小孩子就是了，何必这样呢，火绒要做大做好不是你这样的，总之一句话还是低调点，踏实一点好。
不管你咋看待我回复你的，你可以选择无视，或者不爽我，但是这里是卡饭，给大家真相


前几天想登录虚拟机里的一个WINDOWS，结果发现密码怎么也想不起来了，于是搜索了资料，写了个工具，以解燃眉之急。
其实WINDOWS的登录验证是通过WINLOGON 里的msv1_0.dll验证密码函数msv1_0！MsvpPasswordValIDAte，其内部会调用RtlCompareMemory,从SAM中取出的用户密码哈希和用户输入的密码哈希，比较长度为16个字节，所以只要Patch了这个让其返回TRUE。则可以骗过密码验证直接登录WINDOWS。一般来说我们可以写一个驱动，PATCH了这个验证函数即可。但实际上出问题的时候，我们可能根本无法登录进WINDOWS，也无法安装我们的驱动，但通过利用BOOTKIT的方式，我们可以用U盘启动一个WINPE，然后在WINPE里安装我们的bootkit到硬盘的MBR里，然后启动系统，即可。老外以前写过一个简单的例子，但只支持XP,但在这个BOOTKIT技术已经烂大街的年代了，扩展到支持VISTA,WIN7 32位，也很容易。但WIN7 64则要麻烦点，因为要涉及到PATCH GUARD的处理，虽然也提供了支持，但可能有些系统下会起不来，目前只测试了WIN7 64和WIN2008 R2的部分系统，支持上来说不如32位完善，而32位下则除了WIN8以外，基本都能支持。
currently only support 32bit xp,2003,vista,win7!
maybe support 64bit win7!
syntax:
PwdIgnore /dump
PwdIgnore /restoredump
PwdIgnore /xp
PwdIgnore /win7
PwdIgnore /win7x64

首先使用  /dump在当前目录下生成MBR.BIN文件，以供恢复原来的MBR使用，通过 /restoredump 来恢复MBR.
如果目标登录系统是32位的 2000,XP,2003 则使用   /xp 写入XP系列的BOOTKIT
如果目标登录系统是32位的 vista win7 则使用   /win7  写入win7系列的BOOTKIT
如果目标登录系统是64位的 win7 2008 r2   则使用   /win7x64  写入win7 64位系列的BOOTKIT 。
其他系统请勿使用，否则可能会导致系统无法启动，当然也可以在任何时候进WINPE下通过  /restoredump 来恢复MBR 。
如果在非WINPE下，存在其他杀软的时候，写入MBR可能会被杀软阻止，点允许即可，如果是无提示写入的话，说明你需要更新你的杀软了，建议使用360安全卫士，防御效果来说还是不错的，嘿嘿。

li13911

不建议更新病毒库，这个不算病毒，而且一般人即使双击运行也毫无危害，因为没有带参数，我反馈这个只是说火绒MBR没有拦截，大肉鸡提供的是思路，以后有病毒用到这个思路怎么办？一直跟在后面升级病毒库？加强下系统加固才是方向。真心建议撤销升级病毒库，因为双击毫无危害。

yaoogle007

升一个也没什么？？

√×√×√√×

囧，我也同意2楼的说法，火绒这次为免有点太做作了吧？而且本身又不是病毒一个思路工具就给入库了，何况居然会不知道大肉鸡？冰刃官人总知道的吧 囧囧囧

Palkia

等系统加固的规则出来就撤销这个病毒库吧，做个行为拦截提示就够了。

zdlzp

应该封杀这类攻击

假装不单纯

zdlzp 发表于 2013-3-12 22:04
应该封杀这类攻击

你说的对，可是     这是攻击么？参考二楼说的            

22667999

360急救箱作者大肉鸡写的一个 绕过windows密码的思路

绒儿没必要入库吧。

avast达人

。。。我是小白火绒加油吧