【虐杀MD第8发，填坑系列】XP32位下完美击穿MD

显示全部楼层 · 发表于 2017-1-21 22:22:57

tg123321 发表于 2017-1-21 22:19
2017-1-21 21:48:30 修改文件允许
进程: c:\documents and settings\administrator\桌面\md终结 ...

不知道，没测试。。我看看

显示全部楼层 · 发表于 2017-1-21 22:24:59

我问一下，有人用火绒剑试过吗

显示全部楼层 · 发表于 2017-1-21 22:27:33

tg123321 发表于 2017-1-21 22:19
2017-1-21 21:48:30 修改文件允许
进程: c:\documents and settings\administrator\桌面\md终结 ...

23333，果然不能了

2017-1-21 22:24:52 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\md终结者.exe
命令行: "C:\Documents and Settings\Administrator\桌面\MD终结者.exe"
规则: [应用程序]c:\windows\explorer.exe

2017-1-21 22:24:54 读文件允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: C:\WINDOWS\system32\ntkrnlpa.exe
规则: [文件]*; ntkrnlpa.exe

2017-1-21 22:24:54 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Configuration Data
值: ff ff ff ff ff ff ff ff 00 00 00 00 02 00 00 00 05 00 00 00 0c 00 00 00 00 00 00 00 00 00 00 00 80 00 fe 03 00 00 3f 00 fe 00 01 00 05 00 00 00 30 00 00 00 00 00 00 00 00 00 00 00 00 00 0c 00 00 80 00 00 00 80 0c 00 00 10 00 00 00 c0 0d 00 00 40 00 00 00 00 0e 00 00 80 00 00 00 00 0f 00 00 00 01 00 50 54 50 00 00 10 00 00
规则: [注册表]HKEY_LOCAL_MACHINE\HARDWARE\*

2017-1-21 22:24:58 修改文件阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2017-1-21 22:24:59 修改文件阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2017-1-21 22:25:00 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Configuration Data
值: ff ff ff ff ff ff ff ff 00 00 00 00 02 00 00 00 05 00 00 00 0c 00 00 00 00 00 00 00 00 00 00 00 80 00 fe 03 00 00 3f 00 fe 00 01 00 05 00 00 00 28 00 00 00 00 00 00 00 00 00 00 00 00 00 0c 00 00 80 00 00 00 80 0c 00 00 10 00 00 00 c0 0d 00 00 40 00 00 00 00 0e 00 00 80 00 00 00 00 0f 00 00 00 01 00
规则: [注册表]HKEY_LOCAL_MACHINE\HARDWARE\*

2017-1-21 22:25:06 创建文件阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\utaobxcaxj.sys
规则: [文件组]所有执行文件 -> [文件]*; *.sys

显示全部楼层 · 发表于 2017-1-21 22:29:26

本帖最后由 lifan88 于 2017-1-21 22:32 编辑

电脑发烧友发表于 2017-1-21 21:51
没有用楼主的方法，按照我的思路用常规ARK手刹，而不是MD。当然PE这种开挂的就另当别论。

可以用MD手杀（已经贴出来了），PCHUNTER无法发现病毒真实驱动

显示全部楼层 · 发表于 2017-1-21 22:36:00

C-FBI-QM 发表于 2017-1-21 22:24
我问一下，有人用火绒剑试过吗

不知道。。。那个使MD防御哑火操作没有恢复SSTD表，不知道是什么鬼。。。但是火绒剑不用挂SSTD表而是其他的进行拦截的话，可能这个毒不起作用。。

显示全部楼层 · 发表于 2017-1-21 23:14:27

微点双击KILL

显示全部楼层 · 发表于 2017-1-21 23:19:55

流水寒丶发表于 2017-1-21 23:14
微点双击KILL

这都多久以前的毒了。。还用微点欺负。。。

显示全部楼层 · 发表于 2017-1-21 23:23:10

本帖最后由 lifan88 于 2017-1-21 23:24 编辑

tg123321 发表于 2017-1-21 21:50
这步允许无异于加驱我怕跑出花样把自己电脑搞死了
毕竟实机，这台老电脑还得用
虚拟机被 ...

纠正一下，这步不是相当于“加驱”，而是MD对该病毒的文件创建，注册表修改，驱动加载监控全部无效，不是加驱哦

补充：无效了一瞬间应该是，其他文件的行为还是可以监控到，SSTD没被恢复

显示全部楼层 · 发表于 2017-1-22 20:51:42

WOC，人呢？？？

显示全部楼层 · 发表于 2017-1-22 21:49:10

lifan88 发表于 2017-1-21 22:13
@左手 @电脑发烧友

果然是ARK的问题，我用的正好是楼主的思路，但是一恢复SSDT不是蓝屏就是没有相关钩子。

[病毒样本] 【虐杀MD第8发，填坑系列】XP32位下完美击穿MD