多数杀软已跪—化石级牛逼Rootkit

windows7爱好者

ESET测试结束！
果然，机器人就像一个 高精度的工具，查出来的最多，除了system32下的7个被感染驱动，还发现了在winsxs下的三个驱动（和system32里的三个是同一个文件）
奈何武力值为-999999
安装，反隐藏默认打开

更新完直接报警



然后.....

然后自动开始扫描，查出来包括winsxs下的10个驱动

中途疯狂告诉我有ROOTKIT，然而结果略滑稽


OK，扫描完成，无法清除



选择删除，成功删除winsxs下的三个驱动，其他仍然无能为力，system里的感染不清除是没用的

之后我重启，保证ESET驱动完全加载，开机后结果同上，如图





PCH未恢复，PT查看驱动处于感染状态

windows7爱好者

@fireherman
搞定，机器人武力值太差，差评

lifan88

pal家族 发表于 2017-1-25 13:38
感谢关注。

（机外提取和染毒复制同一文件）http://r.virscan.org/report/17216c6c675d839816b818053e9fb4b0

2/39（什么情况，难道虚拟机外用DISKGENIUS提取到的是正常的东西？进去染毒系统后是WDF01000的内存替换？）
虚拟机外提取（相当于PE）

虚拟机染毒环境提取（复制出来的）：

PCH在驱动模块中DUMP出来的

（DUMP出来的）http://r.virscan.org/report/346bd32d7d35c1fdb5d778712706a0d1

很明显，加载了的驱动和实际存在的驱动不同，和TDL base那些有点像。

是什么方式使得DISKGENIUS在虚拟机外提取到了不同的东西呢。。  

windows7爱好者

lifan88 发表于 2017-1-25 14:15
（机外提取和染毒复制同一文件）http://r.virscan.org/report/17216c6c675d839816b818053e9fb4b0

2/39 ...

PE提取到的是正常文件..
不能那么提取的

lifan88

windows7爱好者 发表于 2017-1-25 13:55
ESET测试结束！
果然，机器人就像一个 高精度的工具，查出来的最多，除了system32下的7个被感染驱动，还发 ...

很明显，ESET没查出WDF01000.SYS被感染，自己检查一下

windows7爱好者

lifan88 发表于 2017-1-25 14:21
很明显，ESET没查出WDF01000.SYS被感染，自己检查一下

哎，对哦，扫描还是漏了一个
ESET颜面无存，自己强项都....

pal家族

windows7爱好者 发表于 2017-1-25 14:22
哎，对哦，扫描还是漏了一个
ESET颜面无存，自己强项都....

与内核通信时出错
经典名言

现在多了个：正在删除时，出错

windows7爱好者

pal家族 发表于 2017-1-25 14:26
与内核通信时出错
经典名言

有事出门，卡巴回来再说

lifan88

windows7爱好者 发表于 2017-1-25 14:22
哎，对哦，扫描还是漏了一个
ESET颜面无存，自己强项都....

其实不能说是扫漏一个，你可以看到PCH-DUMP出来的东西和PE/染毒直接提取的东西是不一样的，ARK和TDSSKILLER都发现了内存中的那个WDF01000有问题，加载在内存中的WDF01000没有数字签名，如果光检查文件是查不出来的，而且实际文件的数字签名也有问题。内存中的那个连数字签名都没了。。

pal家族

windows7爱好者 发表于 2017-1-25 14:28
有事出门，卡巴回来再说

我也睡中午觉了