急救箱不允许智量自启动

显示全部楼层 · 发表于 2018-9-30 15:29:02

www-tekeze 发表于 2018-9-30 15:21
这次是系统急救箱，和主动防御不一样，相信团队也不是一个。。

但是感觉这个渠道解决问题比较快

显示全部楼层 · 发表于 2018-9-30 15:35:52

本帖最后由 wowocock 于 2018-9-30 15:37 编辑

www-tekeze 发表于 2018-9-30 14:46
收到，感谢大佬回复。。

已经加白，现在扫描不会报了。不过由于采用了这种木马比较常用的注入方式及HOOK，所以PCHUNTER也会报恶意修改。

显示全部楼层 · 发表于 2018-9-30 15:44:49

而且HOOK方式也比较特殊，采用了多级跳转的方式，一般来说木马喜欢那么做，来防止安全软件定位到其模块，而特别对于一些喜欢做内存特殊扫描的杀软来说，容易产生误报。
0:002> u 7746b910
kernel32!CreateProcessInternalW:
00000000`7746b910 e9be56fdff    jmp    00000000`77440fd3
00000000`7746b915 57             push rdi
00000000`7746b916 4154          push r12
00000000`7746b918 4155          push r13
00000000`7746b91a 4156          push r14
00000000`7746b91c 4157          push r15
00000000`7746b91e 4881ec400b0000  sub    rsp,0B40h
00000000`7746b925 488b0504fa0e00  mov    rax,qword ptr [kernel32!_security_cookie (00000000`7755b330)]
0:002> u 00000000`77440fd3
00000000`77440fd3 ff2500000000 jmp    qword ptr [00000000`77440fd9]
00000000`77440fd9 7030          jo    00000000`7744100b
00000000`77440fdb 008001000000 add    byte ptr [rax+1],al
00000000`77440fe1 cc             int    3
00000000`77440fe2 cc             int    3
00000000`77440fe3 cc             int    3
00000000`77440fe4 cc             int    3
00000000`77440fe5 cc             int    3
0:002> dq 00000000`77440fd9
00000000`77440fd9  00000001`80003070 cccccccc`cccccccc
00000000`77440fe9  cccccccc`cccccccc cccccccc`cccccccc
00000000`77440ff9  ????????`???????? ????????`????????
00000000`77441009  ????????`???????? ????????`????????
00000000`77441019  ????????`???????? ????????`????????
00000000`77441029  ????????`???????? ????????`????????
00000000`77441039  ????????`???????? ????????`????????
00000000`77441049  ????????`???????? ????????`????????
0:002> u 00000001`80003070
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\PROGRA~2\WISEVE~1\WISEVE~4.DLL -
WISEVE_4+0x3070:
00000001`80003070 4c894c2420    mov    qword ptr [rsp+20h],r9
00000001`80003075 4c89442418    mov    qword ptr [rsp+18h],r8
00000001`8000307a 4889542410    mov    qword ptr [rsp+10h],rdx
00000001`8000307f 48894c2408    mov    qword ptr [rsp+8],rcx
00000001`80003084 b808150000    mov    eax,1508h
00000001`80003089 e8e2990000    call WISEVE_4!InitHelper+0x6ff0 (00000001`8000ca70)

显示全部楼层 · 发表于 2018-9-30 15:45:53

wowocock 发表于 2018-9-30 15:35
已经加白，现在扫描不会报了。不过由于采用了这种木马比较常用的注入方式及HOOK，所以PCHUNTER也会报恶意 ...

嗯嗯，看到了，急救箱之所以报我相信也是有原因的，所以发个贴@双方官人共同解决就行。。

显示全部楼层 · 发表于 2018-9-30 15:49:40

智量官方发表于 2018-9-30 15:29
但是感觉这个渠道解决问题比较快

见私信

显示全部楼层 · 发表于 2018-9-30 17:18:03

wowocock 发表于 2018-9-30 15:35
已经加白，现在扫描不会报了。不过由于采用了这种木马比较常用的注入方式及HOOK，所以PCHUNTER也会报恶意 ...

感谢，解决问题速度超快

显示全部楼层 · 发表于 2018-10-1 09:32:24

官人说了算

显示全部楼层 · 发表于 2018-10-1 14:18:40

不太了解

显示全部楼层 · 发表于 2018-10-1 15:56:51

本帖最后由 a8855942 于 2018-10-1 16:00 编辑

我突然想到微软跟卡巴斯基，还有360拦截可牛的事情。

显示全部楼层 · 发表于 2018-11-1 22:52:28

你这是在搞事啊

[其他相关] 急救箱不允许智量自启动

本帖子中包含更多资源

评分

评分