多数杀软已跪—化石级牛逼Rootkit

显示全部楼层 · 发表于 2017-1-25 14:31:42

lifan88 发表于 2017-1-25 14:29
其实不能说是扫漏一个，你可以看到PCH-DUMP出来的东西和PE/染毒直接提取的东西是不一样的，ARK和TDSSKILL ...

你给的三个卡巴全部不报毒

前面那个倒是报的avatar rootkit

显示全部楼层 · 发表于 2017-1-25 14:32:42

windows7爱好者发表于 2017-1-25 13:55
ESET测试结束！
果然，机器人就像一个高精度的工具，查出来的最多，除了system32下的7个被感染驱动，还发 ...

意料之中

显示全部楼层 · 发表于 2017-1-25 14:37:36

lifan88 发表于 2017-1-25 14:29
其实不能说是扫漏一个，你可以看到PCH-DUMP出来的东西和PE/染毒直接提取的东西是不一样的，ARK和TDSSKILL ...

ESET还是没能发现内存里WDF01000的问题啊...
这个情况诺顿就发现了，然后把驱动全删掉了....就....
我是直接染毒环境下提取的，不是DUMP出来的，仍然是有感染存在
win加载后的看来就会有问题，PE这种外部环境提取的没问题

显示全部楼层 · 发表于 2017-1-25 14:46:42

windows7爱好者发表于 2017-1-25 13:55
ESET测试结束！
果然，机器人就像一个高精度的工具，查出来的最多，除了system32下的7个被感染驱动，还发 ...

我突然发现这个ROOTKIT不是初代。。

显示全部楼层 · 发表于 2017-1-25 14:54:57

lifan88 发表于 2017-1-25 14:46
我突然发现这个ROOTKIT不是初代。。

那么这是第几代2333

显示全部楼层 · 发表于 2017-1-25 14:55:40

windows7爱好者发表于 2017-1-25 14:02
@fireherman
搞定，机器人武力值太差，差评

泣不成声，抱头痛哭。

设计旁白：

Me: 我以为ESET你可以给我惊喜。

ESET: 不，实际上我是“查”毒软件，不是“清”毒软件。

ESET: 清毒排毒不是我的专长。

显示全部楼层 · 发表于 2017-1-25 15:01:32

windows7爱好者发表于 2017-1-25 14:37
ESET还是没能发现内存里WDF01000的问题啊...
这个情况诺顿就发现了，然后把驱动全删掉了....就....
...

但无论结果如何，都必须要感谢小7测试……这可不是一般的体力活。

来，给叔叔抱抱。

显示全部楼层 · 发表于 2017-1-25 15:02:59

fireherman 发表于 2017-1-25 15:01
但无论结果如何，都必须要感谢小7测试……这可不是一般的体力活。

来，给叔叔抱抱。 ...

赶紧去我的帖子里测

显示全部楼层 · 发表于 2017-1-25 15:03:39

fireherman 发表于 2017-1-25 15:01
但无论结果如何，都必须要感谢小7测试……这可不是一般的体力活。

来，给叔叔抱抱。 ...

泥奏凯，我怕被肛

显示全部楼层 · 发表于 2017-1-25 15:12:36

学雷锋做人发表于 2017-1-25 15:02
赶紧去我的帖子里测

正在准备今晚的晚餐，你妹的，11个人的饭菜啊，我一个人要全包。

@windows7爱好者 ESET的HIPS内部规则强制保护系统文件（相当于FD规则的锁死），而且其HIPS是六亲不认的，不管你是系统程序，甚至是ESET自身程序，一旦这条规则建立，谁都不能动这些文件（删除），所以会出现无法删除的情况。

毕竟如果强行删除，系统就会崩溃（蓝屏），ESET似乎是希望先保留文件，再想办法清除（似乎也根本没办法），进可能不让系统崩溃。

[病毒样本] 多数杀软已跪—化石级牛逼Rootkit

本帖子中包含更多资源