为【驱动级保护,干不掉的病毒】的楼主说说话

显示全部楼层 · 发表于 2014-11-1 23:58:00

本帖最后由 lifan88 于 2014-11-2 01:12 编辑

很多人一直嚷嚷这免杀什么的,都TM错了,只不过一个流氓软件而已!!!!

这是我们现在常常看到的手法,流氓软件法,而不是ROOTKIT!

楼主的驱动强化是这样的,用个不知道在那淘来的系统保护软件(这是流氓软件,而非病毒),绿色流氓安装,然后给那软件上密码,然后在病毒完全运行之后,开启系统还原....

下面为MD日志:
2014-11-1 23:06:34 创建新进程允许
进程: d:\windows\explorer.exe
目标: d:\documents and settings\killleer\桌面\强化完的病毒.exe
命令行: "D:\Documents and Settings\killleer\桌面\强化完的病毒.exe"
规则: [应用程序]d:\windows\explorer.exe

2014-11-1 23:06:35 读文件允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: D:\Documents and Settings\killleer\桌面\强化完的病毒.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:06:42 创建文件允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: D:\server.exe
规则: [文件]?:\

2014-11-1 23:06:50 创建新进程允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: d:\server.exe
命令行: "D:\server.exe"

规则: [应用程序]*

以上是我的小马,下面是后门（给楼主道个歉，这是楼主淘来的工具，自己带有后门）

2014-11-1 23:06:57 读文件允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: D:\Documents and Settings\killleer\桌面\强化完的病毒.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:07:06 创建文件允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: D:\WINDOWS\system32\iiexplorer.exe
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.exe

2014-11-1 23:07:19 创建新进程允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: d:\windows\system32\iiexplorer.exe
命令行: "D:\WINDOWS\system32\iiexplorer.exe"
规则: [应用程序]*

2014-11-1 23:07:38 修改文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: D:\server.exe
规则: [文件]?:\
保护么???

2014-11-1 23:08:09 修改注册表值阻止
进程: d:\windows\system32\iiexplorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Virus
值: D:\WINDOWS\system32\iiexplorer.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2014-11-1 23:08:57 访问网络允许
进程: d:\windows\system32\iiexplorer.exe
目标: UDP [本机 : 1050] ->  [127.0.0.1 : 1050]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2014-11-1 23:09:18 访问网络允许
进程: d:\windows\system32\iiexplorer.exe
目标: TCP [本机 : 1053] ->  [173.208.252.155 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2014-11-1 23:09:23 创建文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temporary Internet Files\Content.IE5\2OZKY93X\1[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2014-11-1 23:09:31 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temporary Internet Files\Content.IE5\2OZKY93X\1[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2014-11-1 23:09:39 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temporary Internet Files\Content.IE5\2OZKY93X\1[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2014-11-1 23:09:45 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temporary Internet Files\Content.IE5\2OZKY93X\1[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2014-11-1 23:09:51 创建文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: C:\windows\update.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe
楼主的后门

2014-11-1 23:09:58 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: C:\WINDOWS\update.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:10:56 创建新进程允许
进程: d:\windows\system32\iiexplorer.exe
目标: c:\windows\update.exe
命令行: "C:\windows\update.exe"
规则: [应用程序]*

2014-11-1 23:11:01 访问网络允许
进程: d:\windows\system32\iiexplorer.exe
目标: TCP [本机 : 1054] ->  [173.208.252.155 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2014-11-1 23:11:02 读文件允许
进程: c:\windows\update.exe
目标: C:\WINDOWS\update.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:11:11 创建文件允许
进程: c:\windows\update.exe
目标: D:\WINDOWS\system32\QQ.exe
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.exe

2014-11-1 23:11:17 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temporary Internet Files\Content.IE5\48CRKMU6\1[1].css
规则: [文件组]所有执行文件 -> [文件]*; *.*

2014-11-1 23:11:38 读文件允许
进程: d:\windows\system32\cmd.exe
目标: C:\WINDOWS\update.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:11:44 安装驱动程序或服务允许
进程: d:\windows\system32\qq.exe
目标: D:\WINDOWS\system32\QQ.exe
规则: [应用程序]*

2014-11-1 23:11:49 创建文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: C:\windows\update1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:11:51 删除文件允许
进程: d:\windows\system32\cmd.exe
目标: C:\WINDOWS\update.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:12:05 创建注册表项允许
进程: d:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yoyoddos
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2014-11-1 23:12:08 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: C:\WINDOWS\update1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:12:11 修改注册表值允许
进程: d:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yoyoddos \Start
值: 0x00000002(2)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2014-11-1 23:12:12 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: C:\WINDOWS\update1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:12:20 修改注册表值允许
进程: d:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yoyoddos \ImagePath
值: D:\WINDOWS\system32\QQ.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2014-11-1 23:12:25 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: C:\WINDOWS\update1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:12:36 创建新进程允许
进程: d:\windows\system32\services.exe
目标: d:\windows\system32\qq.exe
命令行: D:\WINDOWS\system32\QQ.exe
规则: [应用程序]d:\windows\system32\services.exe

2014-11-1 23:14:12 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: C:\WINDOWS\update1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:14:23 修改文件允许
进程: d:\windows\system32\qq.exe
目标: \Device\NamedPipe\net\NtControlPipe15
规则: [文件]*

2014-11-1 23:14:30 读文件允许
进程: d:\windows\system32\iiexplorer.exe
目标: C:\WINDOWS\update1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:14:36 创建新进程允许
进程: d:\windows\system32\qq.exe
目标: d:\windows\system32\svchost.exe
命令行: D:\WINDOWS\system32\svchost.exe
规则: [应用程序]d:\windows\system32\svchost.exe

2014-11-1 23:14:38 创建新进程允许
进程: d:\windows\system32\iiexplorer.exe
目标: c:\windows\update1.exe
命令行: "C:\windows\update1.exe"
规则: [应用程序]*

2014-11-1 23:14:49 修改其他进程的内存允许
进程: d:\windows\system32\qq.exe
目标: d:\windows\system32\svchost.exe
规则: [应用程序]*

2014-11-1 23:14:51 读文件允许
进程: c:\windows\update1.exe
目标: C:\WINDOWS\update1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:15:06 修改文件允许
进程: c:\windows\update1.exe
目标: D:\WINDOWS\system32\QQ.exe
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.exe

2014-11-1 23:15:53 创建新进程允许
进程: c:\windows\update1.exe
目标: d:\windows\system32\cmd.exe
命令行: D:\WINDOWS\system32\cmd.exe /c del C:\windows\update1.exe > nul
规则: [应用程序]d:\windows\system32\cmd.exe

2014-11-1 23:16:00 读文件允许
进程: d:\windows\system32\cmd.exe
目标: C:\WINDOWS\update1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:16:04 删除文件允许
进程: d:\windows\system32\cmd.exe
目标: C:\WINDOWS\update1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2014-11-1 23:16:24 修改其他进程的线程允许
进程: d:\windows\system32\qq.exe
目标: d:\windows\system32\svchost.exe
规则: [应用程序]*

2014-11-1 23:16:37 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1055] ->  [173.208.252.155 : 2009]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2333333

下面是流氓软件静默安装(不是ROOTKIT!!!)

2014-11-1 23:09:29 创建文件允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: D:\WINDOWS\system32\blackcat.exe
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.exe
这个并不是ROOTKIT~~

2014-11-1 23:09:38 创建文件允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: D:\WINDOWS\system32\fakedisk.sys
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.sys

2014-11-1 23:09:44 创建文件允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: D:\WINDOWS\system32\drivers\fakedisk.sys
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.sys

2014-11-1 23:10:10 创建新进程允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: d:\windows\system32\blackcat.exe
命令行: "D:\WINDOWS\system32\blackcat.exe" /install /password:9989395qq /protect:C
规则: [应用程序]*

原来密码在这

@vm001

2014-11-1 23:10:47 创建文件允许
进程: d:\windows\system32\blackcat.exe
目标: D:\WINDOWS\system32\IEExtend.dll
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.dll

2014-11-1 23:11:04 修改文件权限允许
进程: d:\windows\system32\blackcat.exe
目标: D:\WINDOWS\system32\IEExtend.dll
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.dll

2014-11-1 23:11:14 创建文件允许
进程: d:\windows\system32\blackcat.exe
目标: D:\WINDOWS\snav.exe
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.exe

2014-11-1 23:11:53 读文件允许
进程: d:\windows\system32\blackcat.exe
目标: D:\Documents and Settings\killleer\My Documents\desktop.ini
规则: [文件组]所有执行文件 -> [文件]*; *.ini

2014-11-1 23:14:16 读文件允许
进程: d:\windows\system32\blackcat.exe
目标: D:\Documents and Settings\All Users\Documents\desktop.ini
规则: [文件组]所有执行文件 -> [文件]*; *.ini

2014-11-1 23:14:32 创建新进程允许
进程: d:\windows\system32\blackcat.exe
目标: d:\windows\snav.exe
命令行: "D:\WINDOWS\snav.exe"
规则: [应用程序]*
流氓软件中还有东西啊

[:14:]

2014-11-1 23:14:43 修改注册表值阻止
进程: d:\windows\system32\blackcat.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zfastrestorecheck
值: D:\WINDOWS\system32\blackcat.exe /check
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2014-11-1 23:14:56 创建文件允许
进程: d:\windows\system32\blackcat.exe
目标: D:\Protect.sys
规则: [文件]?:\

2014-11-1 23:15:11 底层磁盘读操作阻止
进程: d:\windows\system32\blackcat.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

这个被拦,楼主的保护就弹错自退了

下面是流氓软件中的后门?(注册表操作失败就没动作了)

2014-11-1 23:15:33 读文件允许
进程: d:\windows\snav.exe
目标: D:\WINDOWS\win.ini
规则: [文件组]系统关键文件 -> [文件]d:\windows; win.ini

2014-11-1 23:15:46 创建文件允许
进程: d:\windows\snav.exe
目标: D:\WINDOWS\Snav.dll
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.dll

2014-11-1 23:15:56 创建文件允许
进程: d:\windows\snav.exe
目标: D:\WINDOWS\DBinstall.exe
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.exe

2014-11-1 23:16:48 读文件 (3) 允许
进程: d:\windows\snav.exe
目标: D:\Documents and Settings\killleer\My Documents\desktop.ini
规则: [文件组]所有执行文件 -> [文件]*; *.ini

2014-11-1 23:17:12 读文件允许
进程: d:\windows\snav.exe
目标: D:\Documents and Settings\All Users\Documents\desktop.ini
规则: [文件组]所有执行文件 -> [文件]*; *.ini

2014-11-1 23:17:23 创建新进程允许
进程: d:\windows\snav.exe
目标: d:\windows\dbinstall.exe
命令行: "D:\WINDOWS\DBinstall.exe"
规则: [应用程序]*

2014-11-1 23:17:53 修改文件权限允许
进程: d:\windows\dbinstall.exe
目标: D:\WINDOWS\system32\IEExtend.dll
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.dll

2014-11-1 23:17:57 创建文件允许
进程: d:\windows\dbinstall.exe
目标: D:\WINDOWS\system32\Snav.dll
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.dll

2014-11-1 23:18:00 修改文件权限允许
进程: d:\windows\dbinstall.exe
目标: D:\WINDOWS\system32\Snav.dll
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.dll

2014-11-1 23:18:06 创建新进程允许
进程: d:\windows\dbinstall.exe
目标: d:\windows\system32\regsvr32.exe
命令行: "D:\WINDOWS\system32\regsvr32.exe" /s "D:\WINDOWS\system32\Snav.dll"
规则: [应用程序]d:\windows\system32\regsvr32.exe

2014-11-1 23:18:08 加载动态链接库允许
进程: d:\windows\system32\regsvr32.exe
目标: d:\windows\system32\snav.dll
规则: [应用程序]d:\windows\system32\regsvr32.exe

2014-11-1 23:18:17 修改注册表值阻止
进程: d:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{635A7AFA-FB22-4A4E-8AB8-C85CFAB14626}\InprocServer32
值: D:\WINDOWS\system32\Snav.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2014-11-1 23:18:19 创建文件允许
进程: d:\windows\dbinstall.exe
目标: D:\WINDOWS\system32\addrlib.dat
规则: [文件组]所有执行文件 -> [文件]*; *.*

2014-11-1 23:18:21 修改注册表值阻止
进程: d:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{635A7AFA-FB22-4A4E-8AB8-C85CFAB14626}\InprocServer32\ThreadingModel
值: Apartment
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2014-11-1 23:18:24 读文件允许
进程: d:\windows\dbinstall.exe
目标: D:\WINDOWS\system32\addrlib.dat
规则: [文件组]所有执行文件 -> [文件]*; *.*

2014-11-1 23:18:28 创建注册表项阻止
进程: d:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{635A7AFA-FB22-4A4E-8AB8-C85CFAB14626}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*

2014-11-1 23:18:31 创建注册表项阻止
进程: d:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{635A7AFA-FB22-4A4E-8AB8-C85CFAB14626}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*

2014-11-1 23:18:34 修改注册表值阻止
进程: d:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{635A7AFA-FB22-4A4E-8AB8-C85CFAB14626}\InprocServer32
值: D:\WINDOWS\system32\Snav.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2014-11-1 23:18:37 读文件 (3) 允许
进程: d:\windows\dbinstall.exe
目标: D:\WINDOWS\system32\addrlib.dat
规则: [文件组]所有执行文件 -> [文件]*; *.*

2014-11-1 23:18:39 修改文件权限允许
进程: d:\windows\dbinstall.exe
目标: D:\WINDOWS\system32\addrlib.dat
规则: [文件组]所有执行文件 -> [文件]*; *.*

2014-11-1 23:18:51 删除文件允许
进程: d:\windows\dbinstall.exe
目标: D:\WINDOWS\Snav.dll
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.dll

2014-11-1 23:18:53 删除文件允许
进程: d:\windows\dbinstall.exe
目标: D:\WINDOWS\snav.exe
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.exe

2014-11-1 23:18:56 创建新进程允许
进程: d:\windows\dbinstall.exe
目标: d:\windows\system32\cmd.exe
命令行: D:\WINDOWS\system32\cmd.exe /c del D:\WINDOWS\DBINST~1.EXE
规则: [应用程序]d:\windows\system32\cmd.exe

2014-11-1 23:18:57 删除文件允许
进程: d:\windows\system32\cmd.exe
目标: D:\WINDOWS\DBinstall.exe
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.exe

话说（PS：我的错，没看清楚原帖，这个不是楼主加的后门）后门真心....流氓软件法模拟ROOTKIT保护我也是醉了....

显示全部楼层 · 发表于 2014-11-2 00:00:36

本帖最后由 lifan88 于 2014-11-2 00:16 编辑

@vm001
这个流氓软件的密码在这

2014-11-1 23:10:10 创建新进程允许
进程: d:\documents and settings\killleer\桌面\强化完的病毒.exe
目标: d:\windows\system32\blackcat.exe
命令行: "D:\WINDOWS\system32\blackcat.exe" /install /password:9989395qq /protect:C规则: [应用程序]*

我怎么看到这里笑了...

利用近来的流氓软件骗杀软的手法，各位需要重新好好思考一下，楼主到底是BB，还是反映了现状？

@雪白方糖 @1766566017 @b573684723 @XywCloud @橡果公爵 @沧海ふ无涯 @lkia @paul_guo @千里同风 @hx1997 @hddu

显示全部楼层 · 发表于 2014-11-2 01:02:49

好好看看原帖，这是我从论坛淘来的工具，上面那位一直在说楼主的后门楼主的后门，他妈的是想我黑我嘛？

显示全部楼层 · 发表于 2014-11-2 01:08:58

1766566017 发表于 2014-11-2 01:02
好好看看原帖，这是我从论坛淘来的工具，上面那位一直在说楼主的后门楼主的后门，他妈的是想我黑我嘛？[:33 ...

好吧。。。。。

显示全部楼层 · 发表于 2014-11-2 01:10:45

关于发这个贴的意图是想提醒大家，现在的病毒如果做到驱动还原系统（前提免杀，相信很多程序员能够做到）杀毒软件是没办法查杀的，大家可以用虚拟机试试，强化一个远控木马，在虚拟机里打开，打开后会在几秒钟后重启，然后你电脑就相当于装了冰点还原，即使用杀毒软件查杀了病毒，重启后也会被驱动还原，唯一解决的方法就是还原系统，也希望大家尽量不要裸奔，养成良好的上网习惯

显示全部楼层 · 发表于 2014-11-2 01:15:58

本帖最后由 lifan88 于 2014-11-2 01:23 编辑

1766566017 发表于 2014-11-2 01:10
关于发这个贴的意图是想提醒大家，现在的病毒如果做到驱动还原系统（前提免杀，相信很多程序员能够做到）杀 ...

问题是：他的保护是类似用流氓软件安装的方式，给你装个系统还原。。。然而流氓软件是现在杀毒软件的软肋，对于病毒有一定的了解，对网络状况有所了解的人可以完全不用担心这种小儿科手段。。但是对于一个普通的使用者呢？一个带后门而且还带强制还原的流氓软件，也许就要磕头了

其实不用系统还原也可以，像某些ROOTKIT，手法都比这个高到不知道哪去了。。。。你可以去翻一下国内外这些年的ROOTKIT类病毒。。。

显示全部楼层 · 发表于 2014-11-2 01:26:24

理解能力差，请见谅。
看过原文，以为是注册了一个过滤驱动实现还原效果，vm001说回调、ssdt hook什么的都摘掉了还是无法弄掉驱动，应该是用dkom自保？而楼主的意思是说原作者使用了别人的还原软件来实现以上效果吗？

显示全部楼层 · 发表于 2014-11-2 02:16:26

深山红叶__ 发表于 2014-11-2 01:26
理解能力差，请见谅。
看过原文，以为是注册了一个过滤驱动实现还原效果，vm001说回调、ssdt hook什么的都 ...

不知道，但是确实有用了别人的系统保护软件,叫BLACKCAT，但是如你所说，前面多了一个FAKEDISK.SYS，这个来源不知

显示全部楼层 · 发表于 2014-11-2 07:50:35

lifan88 发表于 2014-11-2 00:00
@vm001
这个流氓软件的密码在这
2014-11-1 23:10:10 创建新进程允许

感觉像是用了其他的系统还原软件，命令行参数静默安装。
然后这个强化后的病毒内捆绑了远程控制木马。
嗯，大致应该是这样的吧

显示全部楼层 · 发表于 2014-11-2 10:23:29

lifan88 发表于 2014-11-2 02:16
不知道，但是确实有用了别人的系统保护软件,叫BLACKCAT，但是如你所说，前面多了一个FAKEDISK.SYS，这个 ...

还没上电脑，我觉得blackcat不一定就是他人的还原保护程序，可能是作者自己的？
我猜测：
被修改后的原程序释放过滤驱动与“还原保护”程序的控制端（blackcat），执行其自身原有行为后使blackcat注册之前释放的过滤驱动，使驱动生效，然后因为驱动用了dkom（？），所以脱回调、ssdt hook等后尝试结束它会kebugcheckex。

[其他相关] 为【驱动级保护,干不掉的病毒】的楼主说说话

浏览过的版块