改主页驱动木马一枚，运行后几乎免疫所有杀软

显示全部楼层 · 发表于 2018-12-5 20:52:39

whl2606555 发表于 2018-12-5 20:30
有受信任数签就gg，我说过了。

嗯！也是哈！

显示全部楼层 · 发表于 2018-12-5 21:02:16

whl2606555 发表于 2018-12-5 20:12
蛋挞的话加载驱动会直接报未知威胁，我试过了。

@wowocock 大佬，搞不懂了，我的好像没完全成功，因为重启后用火绒和智量扫描都没事，但那个黑驱动明明摆在那，但删不掉，而且直接用火绒和智量对它右键扫描，仿佛不存在！两者扫描项目或对象都为0。。

用PCH来看，确实有两条ACPI，而且火绒木马专杀也查出一个回调关机的，但处理后重启还是出现。。。不过没发生自动重启或死机什么的。。

显示全部楼层 · 发表于 2018-12-5 21:05:05

whl2606555 发表于 2018-12-5 20:12
蛋挞的话加载驱动会直接报未知威胁，我试过了。

有这个选项挺好，火绒默认不打开，得自己开启。

显示全部楼层 · 发表于 2018-12-5 21:06:09

本帖最后由 www-tekeze 于 2018-12-5 21:57 编辑

kaba666 发表于 2018-12-5 20:28
呵呵！照你这说了！那是不是卡巴受信任模式效果更好！

非白即黑？看楼下说的，有受信任数签就被过了，没有哪种是万能的。。

显示全部楼层 · 发表于 2018-12-5 21:09:51

dsb2466 发表于 2018-12-5 20:48
金山反馈给官人了，专杀改进ing

火绒专杀能查出来，但删不掉重启又出现。。

显示全部楼层 · 发表于 2018-12-5 21:15:47

www-tekeze 发表于 2018-12-5 21:05
有这个选项挺好，火绒默认不打开，得自己开启。

这个功能gd是归类在多步主防里的，强制开启。

显示全部楼层 · 发表于 2018-12-5 21:17:51

www-tekeze 发表于 2018-12-5 21:09
火绒专杀能查出来，但删不掉重启又出现。。

回调没摘除吧

显示全部楼层 · 发表于 2018-12-5 21:21:06

whl2606555 发表于 2018-12-5 21:15
这个功能gd是归类在多步主防里的，强制开启。

360也是默认开启，关不掉。。。火绒那个写MBR的也是默认不开启，反正都想减少弹窗，提升体验，和火绒官人说过这些事，但。。。算了，我自己会用就行。。

显示全部楼层 · 发表于 2018-12-5 21:27:47

本帖最后由 www-tekeze 于 2018-12-5 22:05 编辑

dsb2466 发表于 2018-12-5 21:17
回调没摘除吧

重启又出现，当没杀。。。那个黑驱动用火绒的粉碎机也删不掉，生根发芽了。。

进PE删吧。。。

补充：PE下删掉后，火绒专杀扫描没问题了，PCH里看也只有一条ACPI，但总感觉在我电脑里没真正跑起来。再补充点，删掉这个黑驱动后，SBie沙盘也自动恢复了，仿佛什么事也没发生！

显示全部楼层 · 发表于 2018-12-5 21:36:25

www-tekeze 发表于 2018-12-5 21:06
非白即黑？看楼下说的，有数签就被过了，没有哪种是万能的。。

抱歉，trusted application mode只信任合作者的书签和明确加白者
不是随便书签就信任的

[病毒样本] 改主页驱动木马一枚，运行后几乎免疫所有杀软