楼主: 清道夫900
收起左侧

[微点] 官人 啥时候重写下驱动程序啊

[复制链接]
www-tekeze
发表于 2018-6-25 15:17:51 | 显示全部楼层
wowocock 发表于 2018-6-25 15:11
对主防来说稳定第一,流畅第二,安全第三。

也仔细看过28楼了,那最新的双枪这种,用急救箱强行断电重启也不行么,只能PE下查杀?  
wowocock
发表于 2018-6-25 15:18:24 | 显示全部楼层
驭龙 发表于 2018-6-25 15:10
这双枪太可怕了,还好我有安全引导+WDSG,不然我也很担心中毒了。

难怪微软的WD也有离线模式,看来内 ...

双枪一看就是国人做的,虽然猥琐难杀,但特征很多,很容易被检测到,自然不能长期存在,应该学习暗云和隐魂系列,做的非常隐蔽,除非非常有经验的分析人员,否则基本很难被发现,当初暗云之所以有那么大的感染量就在于其隐蔽性做的比较好。还有比如我们最近发现的一款MBR BOOTKIT,做的非常隐蔽,在WIN10 64 17143下也能跑,除了一些内存SHELL CODE,没有任何痕迹,PCHUNTER也很难发现。实在是防不胜防。

评分

参与人数 1人气 +1 收起 理由
驭龙 + 1

查看全部评分

wowocock
发表于 2018-6-25 15:20:17 | 显示全部楼层
www-tekeze 发表于 2018-6-25 15:17
也仔细看过28楼了,那最新的双枪这种,用急救箱强行断电重启也不行么,只能PE下查杀?

对,主要是根本加载不了任何驱动,当然我们也有办法,利用微软内核的一个设计漏洞加载执行内核模块,也能进入内核处理,不过考虑到放出来被木马利用,将导致灾难后果,所以还是算了,呵呵。
驭龙
发表于 2018-6-25 15:25:53 | 显示全部楼层
wowocock 发表于 2018-6-25 15:18
双枪一看就是国人做的,虽然猥琐难杀,但特征很多,很容易被检测到,自然不能长期存在,应该学习暗云和隐 ...

唉,有些东西,真的是防不胜防,我还是回去开WDAC吧,禁止一切非我自制规则之外的全部文件运行,应该能减少中毒,嘿嘿
www-tekeze
发表于 2018-6-25 15:29:11 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-6-25 15:41 编辑
wowocock 发表于 2018-6-25 15:20
对,主要是根本加载不了任何驱动,当然我们也有办法,利用微软内核的一个设计漏洞加载执行内核模块,也能 ...

   果然是大牛!  那还是别放出来了,免得到时被同行喷呢。。
话说火绒官人知道那个漏洞么,改天我问问去。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 05:30 , Processed in 0.089803 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表