高级rootkit---最好染毒后测试一下你的杀毒软件能不能处理

vm001

电脑发烧友 发表于 2016-10-1 12:31
一回家就来这么刺激的东西

在win7*32下可以用PCH手杀掉（染毒后重启），不过耗时较长。

你为什么要去用pch去删除NTFS.sys呢？还好删不掉，否则系统就挂了。。

电脑发烧友

vm001 发表于 2016-10-1 13:55
你为什么要去用pch去删除NTFS.sys呢？还好删不掉，否则系统就挂了。。

被删的ntfs应该不是真的，我猜的。

vm001

电脑发烧友 发表于 2016-10-1 13:58
被删的ntfs应该不是真的，我&#2946 ...

这个是真实的ntfs.sys，只是病毒搞得鬼让你在pch里想看到文件不存在，删不掉也是病毒在作怪。。

电脑发烧友

vm001 发表于 2016-10-1 14:16
这个是真实的ntfs.sys，只是病毒搞得鬼让你在pch里想看到文件不存在，删不掉也是病毒在作怪。。

这样啊，看来运气不错啊，不然重启之后系统挂了还要重来一遍。

电脑发烧友

vm001 发表于 2016-10-1 14:16
这个是真实的ntfs.sys，只是病毒搞得鬼让你在pch里想看到文件不存在，删不掉也是病毒在作怪。。

哦，对了，最好别用PCH的“更为暴力的强制重启”，我曾经这么用报废了一个虚拟机。

vm001

电脑发烧友 发表于 2016-10-1 14:32
哦，对了，最好别用PCH的“更为暴力的强制重启”，我曾经这么用报废了一个虚拟机。

哎。。。我被蒙住了。。一看手法和鬼影5类似，就想多了

比如按你的思路应该是这样处理
这里不用设置


然后删除回调



这个可以删除也可以不用管他


这里删除微端口过滤


系统恢复正常


可以查看恶意驱动信息了





提示被占用无法删除，不用管他，定位注册表删除服务


重启计算机问题解决，也可以在第五步的时候，不去删除微端扣过滤，直接卸载驱动也可以


删除微端口和卸载驱动只能二选一，后面的一样
-------------------------------------------------------------------------------------------------------------------------------

其实最终一步就是干掉服务就可以，原来以上的全部可以不做，直接定位注册表删除服务重启计算机完活。。。

我说的手杀成功是指，比如上面那第五步之后，删除文件提示占用这个，就是不知道谁在占用，如果这步也处理好就可以说是完美解决了。。
（就是说重启前可以安全的删除文件，并卸载驱动）

其二，是在不知情的情况下如何确认他就是那个恶意驱动。。。信息全部被病毒使用的障眼法掩盖，给我们看到的是确确实实的系统文件。。这个才是关键。。

电脑发烧友

vm001 发表于 2016-10-1 17:09
哎。。。我被蒙住了。。一看手法和鬼影5类似，就想多了

比如按你的思路应该是这样处理

进程线程那块，我不知道那么做对本次手杀有无重要性，只是习惯性的挂起了，加上以前有过直接杀掉system线程导致蓝屏的经历，故从那次以后，我都是直接挂起，而且挂起线程可以有效防止一些病毒重新建立新的线程。

关于你说的如何发现病毒驱动，如果能找到样本那么可以通过行为来定位驱动。
但是最怕的就是已经没有样本了，那么要定位恶意驱动是十分困难的。

但也不是没有办法，如果杀软能扫描出来但是杀不掉，可以直接上ARK手杀。

haol

ccboxes 发表于 2016-9-29 23:37
OEM引擎仅有BD的毒库和启发模块，而原生BD的反Rootkit、修复、云等涉及到底层架构的功能均缺失。

BD本 ...

You are right.

Emsisoft 開啟dda 模式後，帶毒環境下(BD 引擎)也能順利偵測
能否掃描到檔案主要是OEM廠本身引擎來決定

1006590767

谢谢各位老大的指点，哎，现在的2345主页导航真是越来越流氓了，这已经不是短时间了，网上（公仆）警察也不管管。我大天朝的特色