楼主: lifan88
收起左侧

[病毒样本] 【虐杀MD第8发,填坑系列】XP32位下完美击穿MD

[复制链接]
lifan88
 楼主| 发表于 2017-1-21 22:22:57 | 显示全部楼层
tg123321 发表于 2017-1-21 22:19
2017-1-21 21:48:30    修改文件    允许
进程: c:\documents and settings\administrator\桌面\md终结 ...

不知道,没测试。。我看看
C-FBI-QM
发表于 2017-1-21 22:24:59 | 显示全部楼层
我问一下,有人用火绒剑试过吗
lifan88
 楼主| 发表于 2017-1-21 22:27:33 | 显示全部楼层
tg123321 发表于 2017-1-21 22:19
2017-1-21 21:48:30    修改文件    允许
进程: c:\documents and settings\administrator\桌面\md终结 ...

23333,果然不能了

2017-1-21 22:24:52    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\md终结者.exe
命令行: "C:\Documents and Settings\Administrator\桌面\MD终结者.exe"
规则: [应用程序]c:\windows\explorer.exe

2017-1-21 22:24:54    读文件    允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: C:\WINDOWS\system32\ntkrnlpa.exe
规则: [文件]*; ntkrnlpa.exe

2017-1-21 22:24:54    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Configuration Data
值: ff ff ff ff ff ff ff ff 00 00 00 00 02 00 00 00 05 00 00 00 0c 00 00 00 00 00 00 00 00 00 00 00 80 00 fe 03 00 00 3f 00 fe 00 01 00 05 00 00 00 30 00 00 00 00 00 00 00 00 00 00 00 00 00 0c 00 00 80 00 00 00 80 0c 00 00 10 00 00 00 c0 0d 00 00 40 00 00 00 00 0e 00 00 80 00 00 00 00 0f 00 00 00 01 00 50 54 50 00 00 10 00 00
规则: [注册表]HKEY_LOCAL_MACHINE\HARDWARE\*

2017-1-21 22:24:58    修改文件    阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2017-1-21 22:24:59    修改文件    阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*


2017-1-21 22:25:00    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Configuration Data
值: ff ff ff ff ff ff ff ff 00 00 00 00 02 00 00 00 05 00 00 00 0c 00 00 00 00 00 00 00 00 00 00 00 80 00 fe 03 00 00 3f 00 fe 00 01 00 05 00 00 00 28 00 00 00 00 00 00 00 00 00 00 00 00 00 0c 00 00 80 00 00 00 80 0c 00 00 10 00 00 00 c0 0d 00 00 40 00 00 00 00 0e 00 00 80 00 00 00 00 0f 00 00 00 01 00
规则: [注册表]HKEY_LOCAL_MACHINE\HARDWARE\*

2017-1-21 22:25:06    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\utaobxcaxj.sys
规则: [文件组]所有执行文件 -> [文件]*; *.sys

lifan88
 楼主| 发表于 2017-1-21 22:29:26 | 显示全部楼层
本帖最后由 lifan88 于 2017-1-21 22:32 编辑
电脑发烧友 发表于 2017-1-21 21:51
没有用楼主的方法,按照我的思路用常规ARK手刹,而不是MD。当然PE这种开挂的就另当别论。


可以用MD手杀(已经贴出来了),PCHUNTER无法发现病毒真实驱动
lifan88
 楼主| 发表于 2017-1-21 22:36:00 | 显示全部楼层
C-FBI-QM 发表于 2017-1-21 22:24
我问一下,有人用火绒剑试过吗

不知道。。。那个使MD防御哑火操作没有恢复SSTD表,不知道是什么鬼。。。但是火绒剑不用挂SSTD表而是其他的进行拦截的话,可能这个毒不起作用。。
流水寒丶
头像被屏蔽
发表于 2017-1-21 23:14:27 | 显示全部楼层
微点双击KILL
lifan88
 楼主| 发表于 2017-1-21 23:19:55 | 显示全部楼层

这都多久以前的毒了。。还用微点欺负。。。
lifan88
 楼主| 发表于 2017-1-21 23:23:10 | 显示全部楼层
本帖最后由 lifan88 于 2017-1-21 23:24 编辑
tg123321 发表于 2017-1-21 21:50
这步允许无异于加驱我怕跑出花样把自己电脑搞死了
毕竟实机,这台老电脑还得用
虚拟机被 ...


纠正一下,这步不是相当于“加驱”,而是MD对该病毒的文件创建,注册表修改,驱动加载监控全部无效,不是加驱哦

补充:无效了一瞬间应该是,其他文件的行为还是可以监控到,SSTD没被恢复
lifan88
 楼主| 发表于 2017-1-22 20:51:42 | 显示全部楼层
WOC,人呢???
电脑发烧友
发表于 2017-1-22 21:49:10 | 显示全部楼层
lifan88 发表于 2017-1-21 22:13
@左手 @电脑发烧友

果然是ARK的问题,我用的正好是楼主的思路,但是一恢复SSDT不是蓝屏就是没有相关钩子。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 00:26 , Processed in 0.092636 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表