高级rootkit---最好染毒后测试一下你的杀毒软件能不能处理

显示全部楼层 · 发表于 2016-9-28 23:21:25

俺不记得上次用国货安装是哪年了.........

解包先轮奸

拉拉搞死mysql.exe

Zam 搞死22个文件, 死翘翘, 安息吧, 俺的二国主义

Malwarebytes 也是搞死搞死mysql.exe

显示全部楼层 · 发表于 2016-9-28 23:22:39

fireherman 发表于 2016-9-28 23:15
我不是程序员，怎么帮你分析啊？

我只能通过一个比喻来阐述（可能比较猥琐）

唉。。你成功让我笑出了声。。
谢谢哈！~

显示全部楼层 · 发表于 2016-9-28 23:25:29

vm001 发表于 2016-9-28 23:18
安全模式可以处理，主要是我就是不知道在win下怎么处理。
也可以说这个样本做的还不够恶毒，应该让安全 ...

win下为撒我感觉无解
因为劫持了系统驱动，强行清除可能会蓝屏

显示全部楼层 · 发表于 2016-9-28 23:33:53

卡巴斯基安全软件
拒绝访问
无法访问该网页
对象 URL：
https://att.kafan.cn/forum.php?mo ... jV8MjA1ODU5MA%3D%3D
原因：
对象感染源 Rootkit.Win64.Agent.kk

显示全部楼层 · 发表于 2016-9-28 23:35:48

pal家族发表于 2016-9-28 22:16
下载TDSSkiller
扫描内容全选，按照提示重启加载驱动，再次执行工具，勾选全部内容然后扫描。
http://med ...

为什么没有人玩Gmer?
http://www.gmer.net/#files

显示全部楼层 · 发表于 2016-9-28 23:38:14

本帖最后由 ccboxes 于 2016-9-28 23:39 编辑

230f4 发表于 2016-9-28 22:49
BD什么结果？

刚下下来。
myspl.exe已入库  Gen:Variant.Mikey.30558

关闭实时防护双击  ATC杀

染毒后重新开启防护，十秒后提示检测到  Rootkit.78245.，重启清毒，被劫持主页恢复，病毒驱动被隔离。

我BD可是有实时Rootkit检测的

显示全部楼层 · 发表于 2016-9-28 23:43:47

本帖最后由 ccboxes 于 2016-9-28 23:47 编辑

vm001 发表于 2016-9-28 23:18
安全模式可以处理，主要是我就是不知道在win下怎么处理。
也可以说这个样本做的还不够恶毒，应该让安全 ...

这是不可能的，安全模式有严格的校验绝不会加载非系统驱动，除非是高等级的exploit利用Win内核的漏洞。对于这种普通的Rootkit，能做的是禁止进入安全模式(需要修改MBR）。这样还是可以在PE下修复MBR再处理。

显示全部楼层 · 发表于 2016-9-28 23:48:07

ccboxes 发表于 2016-9-28 23:43
这是不可能的，安全模式有严格的校验绝不会加载非系统驱动，除非是高等级的exploit利用Win内核的漏洞。对 ...

鬼影5的驱动你试一试看看能在安全模式下删除不。。
如果你玩过鬼影5就不会这么认为了

显示全部楼层 · 发表于 2016-9-28 23:52:18

vm001 发表于 2016-9-28 23:48
鬼影5的驱动你试一试看看能在安全模式下删除不。。
如果你玩过鬼影5就不会这么认为了

那玩意儿用的就不是驱动了，修改MBR这种作弊方法能算数么

所以还是UEFI+GPT好啊。

显示全部楼层 · 发表于 2016-9-29 00:08:03

卡巴解压kill,不过有点慢,需要两三秒才有反映

[病毒样本] 高级rootkit---最好染毒后测试一下你的杀毒软件能不能处理