官人啥时候重写下驱动程序啊

显示全部楼层 · 发表于 2018-6-25 15:17:51

wowocock 发表于 2018-6-25 15:11
对主防来说稳定第一，流畅第二，安全第三。

也仔细看过28楼了，那最新的双枪这种，用急救箱强行断电重启也不行么，只能PE下查杀？

显示全部楼层 · 发表于 2018-6-25 15:18:24

驭龙发表于 2018-6-25 15:10
这双枪太可怕了，还好我有安全引导＋WDSG，不然我也很担心中毒了。

难怪微软的WD也有离线模式，看来内 ...

双枪一看就是国人做的，虽然猥琐难杀，但特征很多，很容易被检测到，自然不能长期存在，应该学习暗云和隐魂系列，做的非常隐蔽，除非非常有经验的分析人员，否则基本很难被发现，当初暗云之所以有那么大的感染量就在于其隐蔽性做的比较好。还有比如我们最近发现的一款MBR BOOTKIT，做的非常隐蔽，在WIN10 64 17143下也能跑，除了一些内存SHELL CODE，没有任何痕迹，PCHUNTER也很难发现。实在是防不胜防。

显示全部楼层 · 发表于 2018-6-25 15:20:17

www-tekeze 发表于 2018-6-25 15:17
也仔细看过28楼了，那最新的双枪这种，用急救箱强行断电重启也不行么，只能PE下查杀？

对，主要是根本加载不了任何驱动，当然我们也有办法，利用微软内核的一个设计漏洞加载执行内核模块，也能进入内核处理，不过考虑到放出来被木马利用，将导致灾难后果，所以还是算了，呵呵。

显示全部楼层 · 发表于 2018-6-25 15:25:53

wowocock 发表于 2018-6-25 15:18
双枪一看就是国人做的，虽然猥琐难杀，但特征很多，很容易被检测到，自然不能长期存在，应该学习暗云和隐 ...

唉，有些东西，真的是防不胜防，我还是回去开WDAC吧，禁止一切非我自制规则之外的全部文件运行，应该能减少中毒，嘿嘿

显示全部楼层 · 发表于 2018-6-25 15:29:11

本帖最后由 www-tekeze 于 2018-6-25 15:41 编辑

wowocock 发表于 2018-6-25 15:20
对，主要是根本加载不了任何驱动，当然我们也有办法，利用微软内核的一个设计漏洞加载执行内核模块，也能 ...

果然是大牛！那还是别放出来了，免得到时被同行喷呢。。

话说火绒官人知道那个漏洞么，改天我问问去。。

[微点] 官人啥时候重写下驱动程序啊

评分

[微点] 官人 啥时候重写下驱动程序啊

评分

[微点] 官人啥时候重写下驱动程序啊