高级rootkit---最好染毒后测试一下你的杀毒软件能不能处理

haol

mysql執行後下列工具掃描都無法偵測"Mslmedia.sys"
1.BootkitRemover
2.Rootkit Buster
3.escan MWAV
4.Emsisoft(dda模式，其BD 引擎能順利偵測)
5.Eset online scanner
6.Mcafee Stinger
7.Norton power eraser

比較特別的是Eset和BD 引擎可殺生成物，但是已執行時無法偵測到
其他是殺mysql.exe不殺生成物

ccboxes

haol 发表于 2016-9-29 22:36
mysql執行後下列工具掃描都無法偵測"Mslmedia.sys"
1.BootkitRemover
2.Rootkit Buster

BD可以带毒查杀，我这边直接提示重启清毒，重启后驱动被隔离。

haol

ccboxes 发表于 2016-9-29 23:25
BD可以带毒查杀，我这边直接提示重启清毒，重启后驱动被隔离。

上面有1款是BD 引擎在帶毒下是無法偵測

haol

Avast帶毒下可偵測，重開機後進入客製command環境並自動清除

ccboxes

haol 发表于 2016-9-29 23:30
上面有兩款是BD 引擎均帶毒下是無法偵測

OEM引擎仅有BD的毒库和启发模块，而原生BD的反Rootkit、修复、云等涉及到底层架构的功能均缺失。

BD本身带实时Rootkit检测，不需要手动运行扫描，实时防护便可查杀rootkit，重启便可彻底清除。

师海吉

rootkit好流弊。

f59375443

编辑掉

aboringman

AVG：

说说结果就好，简洁才是硬道理。简单来说，这次的功臣并非是IDP，而是实时监控，运行mysql.exe后，重启电脑，AVG的实时监控立即发现了Rootkit的存在，并将受感染的驱动隔离【详见日志】，经过卡巴的TDSSKiller的数次扫描，确定成功解决威胁

"";"Potentially unwanted application HackTool.ATLJ, c:\Windows\System32\drivers\Mslmedia.sys";"Healed, Moved to Virus Vault";"File or Directory";"2016/9/30, 22:38:42"

"";"Found Win32/DH{Z0UegQ8?}, c:\Users\abori\Desktop\QQ旋风破解版\Browser\mysql.exe";"Healed, Moved to Virus Vault";"File or Directory";"2016/9/30, 21:58:28"

Microsoftheihei

红伞扫描miss
双击触发神器apc

电脑发烧友

一回家就来这么刺激的东西

在win7*32下可以用PCH手杀掉（染毒后重启），不过耗时较长。
手杀全过程已经上传
https://yunpan.cn/ckTFSXqgByJ6Z  访问密码 4760