高级rootkit---最好染毒后测试一下你的杀毒软件能不能处理

显示全部楼层 · 发表于 2016-9-29 08:15:10

DF快递发表于 2016-9-29 00:36
驱动不都是要依赖系统的吗?难道它可以脱离系统独立运行?

鬼影分两部分，在MBR中的引导病毒(特殊的PE文件)与安装于系统中的驱动。电脑启动时，引导病毒先于系统启动，检测到系统内核加载时立即插入恶意代码使病毒驱动优先加载，同时干掉安软的驱动。没了引导病毒鬼影就是个普通的rootkit。Win8之后一是有了反病毒服务提前加载，再一个UEFI启动开始普及，鬼影就不怎么邪乎了。

显示全部楼层 · 发表于 2016-9-29 08:15:27

驭龙发表于 2016-9-29 07:45
我可怜的诺顿，好像对付驱动威胁，效果不理想，ZA当年多么疯狂啊

诺顿现在处理很多东西太粗糙了

显示全部楼层 · 发表于 2016-9-29 08:19:26

尘梦幽然发表于 2016-9-29 08:15
诺顿现在处理很多东西太粗糙了

是啊，前段时间的SAPE报法现在也很少见了，都被ADVML占据了。

然而它的技术还是毋庸置疑的强大，我只是奇怪为啥对付驱动类威胁的清除能力弱一点，这个百思不得其解，无论是产品的驱动监控还是引擎，对付驱动威胁应该绰绰有余的，可事实上却有一点弱，不过也无所谓做好防御的话，驱动威胁也进不来，哈

显示全部楼层 · 发表于 2016-9-29 09:30:01

WD今早更新以后可以查杀了。
但是问题是，扫描不报。
扫描完了以后，过一会，他自己弹窗报告发现恶意软件。联网状态……

这是什么现象啊？

Windows Defender 已检测到恶意软件或其他潜在的垃圾软件。
请参阅以下详细信息:
http://go.microsoft.com/fwlink/? ... 684005&enterprise=0
      名称: Trojan:Win32/Dynamer!ac
      ID: 2147684005
      严重性: 严重
      类别: 特洛伊木马
      路径: file:_C:\Users\Kafan\Downloads\QQ旋风破解版\Browser\mysql.exe
      检测来源: 本地计算机
      检测类型: 快速路径
      检测源: 系统
      用户: NT AUTHORITY\SYSTEM
      进程名称: Unknown
      签名版本: AV: 1.229.453.0, AS: 1.229.453.0, NIS: 116.29.0.0
      引擎版本: AM: 1.1.13103.0, NIS: 2.1.12706.0
_________________________________________________________________________________________________________________________________
Windows Defender 已采取措施保护此计算机免受恶意软件或其他潜在垃圾软件的侵害。
请参阅以下详细信息:
http://go.microsoft.com/fwlink/? ... 684005&enterprise=0
      名称: Trojan:Win32/Dynamer!ac
      ID: 2147684005
      严重性: 严重
      类别: 特洛伊木马
      路径: file:_C:\Users\Kafan\Downloads\QQ旋风破解版\Browser\mysql.exe
      检测来源: 本地计算机
      检测类型: 快速路径
      检测源: 系统
      用户: NT AUTHORITY\SYSTEM
      进程名称: Unknown
      操作: 隔离
      操作状态:  No additional actions required
      错误代码: 0x00000000
      错误描述: 操作成功完成。
      签名版本: AV: 1.229.453.0, AS: 1.229.453.0, NIS: 116.29.0.0
      引擎版本: AM: 1.1.13103.0, NIS: 2.1.12706.0

显示全部楼层 · 发表于 2016-9-29 09:36:30

ESET試試看自帶的專用清除的那個，如果還不行那真的不行了。。。

显示全部楼层 · 发表于 2016-9-29 09:45:08

本帖最后由 MelissaBenoist 于 2016-9-29 15:30 编辑

09版旧病毒库江民拦截

老江民表示老骥伏枥志在千里你们有你们的病毒库我有我的老主防
微点无反应

毛豆阻止

显示全部楼层 · 发表于 2016-9-29 09:57:10

这是一个很老的病毒；、、

显示全部楼层 · 发表于 2016-9-29 10:07:23

ELOHIM 发表于 2016-9-28 21:10
Trojan: Win32/Spursint.A!cl

类别: 特洛伊木马

，，，，断网没报

MSE miss

显示全部楼层 · 发表于 2016-9-29 10:19:14

vm001 发表于 2016-9-29 08:09
鬼影6好处理，win下就可以。
鬼影5win下就没法处理。。。给你个提示，驱动名字是atapi

已经都是过去式啦！往下看人家的回复,貌似很像某按软的神话“鬼影病毒”的口气。

显示全部楼层 · 发表于 2016-9-29 10:31:53

ESM

[病毒样本] 高级rootkit---最好染毒后测试一下你的杀毒软件能不能处理

评分

RE: 高级rootkit---最好染毒后测试一下你的杀毒软件能不能处理

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源