带有签名的病毒

显示全部楼层 · 发表于 2016-8-13 12:22:45

3801187 发表于 2016-8-13 12:02
抱歉，应该是拦截失败了，把驱动删除了刷新一下文件夹驱动又出现了，不知道是什么情况

这是注册表相对的服务在保护着

显示全部楼层 · 发表于 2016-8-13 12:23:55

本帖最后由 vm001 于 2016-8-13 12:26 编辑

电脑发烧友发表于 2016-8-13 11:52
你的意思是你在*64下用PCH手杀成功了？

现在是成功了，感觉有点怪。。
其实以前也是成功的，只不过是需要先改写驱动注册服务的值为4，不能直接删除，直接删除会回写，现在突然可以直接删除了

显示全部楼层 · 发表于 2016-8-13 12:29:49

所以说，百度...呵呵呵呵

显示全部楼层 · 发表于 2016-8-13 12:30:28

vm001 发表于 2016-8-13 12:23
现在是成功了，感觉有点怪。。
其实以前也是成功的，只不过是需要先改写驱动注册服务的值为4，不能直 ...

不会是远程控制吧

我好害怕呀

显示全部楼层 · 发表于 2016-8-13 12:31:20

windows7爱好者发表于 2016-8-13 11:54
现在问题是这个驱动存不存在恶意行为，铁壳加白仅仅是因为百度签名吧

这个要看怎么定义了，我个人觉着算是恶意行为了，随着浏览器安装而安装，却在浏览器卸载的时候不算着卸载，留在用户系统后台运行，用户还没有选择删除或者是卸载它的途径，使用rootkit技术保护自己，防止用户删除。。。

显示全部楼层 · 发表于 2016-8-13 12:31:58

vm001 发表于 2016-8-13 12:23
现在是成功了，感觉有点怪。。
其实以前也是成功的，只不过是需要先改写驱动注册服务的值为4，不能直 ...

在*64下勾选阻止生成没用么？有没有试过直接用空白的同名文件用ARK覆盖进去（貌似会蓝）。

显示全部楼层 · 发表于 2016-8-13 12:33:47

电脑发烧友发表于 2016-8-13 12:31
在*64下勾选阻止生成没用么？有没有试过直接用空白的同名文件用ARK覆盖进去（貌似会蓝）。

我一般处理这个都不勾选这个，所以没试过

显示全部楼层 · 发表于 2016-8-13 12:57:54

vm001 发表于 2016-8-13 12:33
我一般处理这个都不勾选这个，所以没试过

这怎么个说法？

显示全部楼层 · 发表于 2016-8-13 13:01:10

3801187 发表于 2016-8-13 12:57
http://fireeye.ijinshan.com/analyse.html?md5=b511fe4a2d7aee9e5ccd4a7135e079cc&sha1=78780e83cdc7c40 ...

有百度签名或者说就是百度的出品，谁敢说是病毒。。可是就只这么一个东西却使用的是病毒手法，行为与病毒无差别。。

显示全部楼层 · 发表于 2016-8-13 13:03:25

vm001 发表于 2016-8-13 13:01
有百度签名或者说就是百度的出品，谁敢说是病毒。。可是就只这么一个东西却使用的是病毒手法，行为与病毒 ...

这BD太恶心人了，再也不用BD国内产品了

[病毒样本] 带有签名的病毒