楼主: www-tekeze
收起左侧

[其他相关] 急救箱不允许智量自启动

[复制链接]
智量官方
发表于 2018-9-30 15:29:02 | 显示全部楼层
www-tekeze 发表于 2018-9-30 15:21
这次是系统急救箱,和主动防御不一样,相信团队也不是一个。。

但是感觉这个渠道解决问题比较快
wowocock
发表于 2018-9-30 15:35:52 | 显示全部楼层
本帖最后由 wowocock 于 2018-9-30 15:37 编辑
www-tekeze 发表于 2018-9-30 14:46
收到,感谢大佬回复。。

已经加白,现在扫描不会报了。不过由于采用了这种木马比较常用的注入方式及HOOK,所以PCHUNTER也会报恶意修改。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wowocock
发表于 2018-9-30 15:44:49 | 显示全部楼层
而且HOOK方式也比较特殊,采用了多级跳转的方式,一般来说木马喜欢那么做,来防止安全软件定位到其模块,而特别对于一些喜欢做内存特殊扫描的杀软来说,容易产生误报。
0:002> u 7746b910
kernel32!CreateProcessInternalW:
00000000`7746b910 e9be56fdff      jmp     00000000`77440fd3
00000000`7746b915 57              push    rdi
00000000`7746b916 4154            push    r12
00000000`7746b918 4155            push    r13
00000000`7746b91a 4156            push    r14
00000000`7746b91c 4157            push    r15
00000000`7746b91e 4881ec400b0000  sub     rsp,0B40h
00000000`7746b925 488b0504fa0e00  mov     rax,qword ptr [kernel32!_security_cookie (00000000`7755b330)]
0:002> u 00000000`77440fd3
00000000`77440fd3 ff2500000000    jmp     qword ptr [00000000`77440fd9]
00000000`77440fd9 7030            jo      00000000`7744100b
00000000`77440fdb 008001000000    add     byte ptr [rax+1],al
00000000`77440fe1 cc              int     3
00000000`77440fe2 cc              int     3
00000000`77440fe3 cc              int     3
00000000`77440fe4 cc              int     3
00000000`77440fe5 cc              int     3
0:002> dq 00000000`77440fd9
00000000`77440fd9  00000001`80003070 cccccccc`cccccccc
00000000`77440fe9  cccccccc`cccccccc cccccccc`cccccccc
00000000`77440ff9  ????????`???????? ????????`????????
00000000`77441009  ????????`???????? ????????`????????
00000000`77441019  ????????`???????? ????????`????????
00000000`77441029  ????????`???????? ????????`????????
00000000`77441039  ????????`???????? ????????`????????
00000000`77441049  ????????`???????? ????????`????????
0:002> u 00000001`80003070
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\PROGRA~2\WISEVE~1\WISEVE~4.DLL -
WISEVE_4+0x3070:
00000001`80003070 4c894c2420      mov     qword ptr [rsp+20h],r9
00000001`80003075 4c89442418      mov     qword ptr [rsp+18h],r8
00000001`8000307a 4889542410      mov     qword ptr [rsp+10h],rdx
00000001`8000307f 48894c2408      mov     qword ptr [rsp+8],rcx
00000001`80003084 b808150000      mov     eax,1508h
00000001`80003089 e8e2990000      call    WISEVE_4!InitHelper+0x6ff0 (00000001`8000ca70)

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 感谢解答: )

查看全部评分

www-tekeze
 楼主| 发表于 2018-9-30 15:45:53 | 显示全部楼层
wowocock 发表于 2018-9-30 15:35
已经加白,现在扫描不会报了。不过由于采用了这种木马比较常用的注入方式及HOOK,所以PCHUNTER也会报恶意 ...

嗯嗯,看到了,急救箱之所以报我相信也是有原因的,所以发个贴@双方官人共同解决就行。。
360主动防御
发表于 2018-9-30 15:49:40 | 显示全部楼层
智量官方 发表于 2018-9-30 15:29
但是感觉这个渠道解决问题比较快

见私信
智量官方
发表于 2018-9-30 17:18:03 来自手机 | 显示全部楼层
wowocock 发表于 2018-9-30 15:35
已经加白,现在扫描不会报了。不过由于采用了这种木马比较常用的注入方式及HOOK,所以PCHUNTER也会报恶意 ...

感谢,解决问题速度超快
davidyxw
发表于 2018-10-1 09:32:24 | 显示全部楼层
官人说了算

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 No!大佬说了算。。。

查看全部评分

a8855942
发表于 2018-10-1 15:56:51 | 显示全部楼层
本帖最后由 a8855942 于 2018-10-1 16:00 编辑

我突然想到微软跟卡巴斯基,还有360拦截可牛的事情。
13349919055
发表于 2018-11-1 22:52:28 | 显示全部楼层
你这是在搞事啊
www-tekeze
 楼主| 发表于 2018-11-1 22:56:47 | 显示全部楼层

一个月前的帖子了,挖坟高手。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 09:17 , Processed in 0.122437 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表