可能是最后一次update了，疑似rootkit的驱动？

显示全部楼层 · 发表于 2015-10-18 09:21:56

还记得之前那些找不到母体，又不断生成，联网的随机命名exe文件吗？

最后用pchunter找到了一个可疑的驱动，还是找不到文件的那种，似乎有关机回写功能。由于找不到文件，只能从内存dump了一个驱动出来。

求助者那边在干掉这个奇怪的驱动之后，暂时没有exe文件生成……

不知道是不是样本提取的问题，似乎没有报毒的…………

显示全部楼层 · 发表于 2015-10-18 09:27:57

360下载保护，360压缩未知

显示全部楼层 · 发表于 2015-10-18 09:34:10

CIS miss

显示全部楼层 · 发表于 2015-10-18 09:45:28

BD显示安全

显示全部楼层 · 发表于 2015-10-18 09:45:12

本帖最后由 pal家族于 2015-10-18 09:49 编辑

kaba
miss

jotti：
0/N

显示全部楼层 · 发表于 2015-10-18 09:48:54

本帖最后由 fuzhk 于 2015-10-18 18:57 编辑

Avira CLEAN

Virustotal 0/56

显示全部楼层 · 发表于 2015-10-18 10:11:44

既然你猜是关机回写的话，为啥不检查PC Hunter里面的内核项？
内核、应用层钩子、网络、启动信息，一个都不能少。
驱动被处理过，没办法正常分析，而且也缺少调用驱动的文件。

显示全部楼层 · 发表于 2015-10-18 10:18:49

XywCloud 发表于 2015-10-18 10:11
既然你猜是关机回写的话，为啥不检查PC Hunter里面的内核项？
内核、应用层钩子、网络、启动信息，一个都 ...

就是内核里面发现的关机回写…………

显示全部楼层 · 发表于 2015-10-18 10:19:35

mcafee miss

显示全部楼层 · 发表于 2015-10-18 10:23:23

火绒不杀

[可疑文件] 可能是最后一次update了，疑似rootkit的驱动？

本帖子中包含更多资源

浏览过的版块