楼主: 落华无痕
收起左侧

[病毒样本] 改主页驱动木马一枚,运行后几乎免疫所有杀软

  [复制链接]
www-tekeze
发表于 2018-12-5 21:45:51 | 显示全部楼层
pal家族 发表于 2018-12-5 21:36
抱歉,trusted application mode只信任合作者的书签和明确加白者
不是随便书签就信任的

pal大,这个实际不用解释,没哪家安全厂商会那么Low的。。。不过是调侃下kaba666而已。。。
kaba666
发表于 2018-12-5 21:50:42 | 显示全部楼层
www-tekeze 发表于 2018-12-5 21:06
非白即黑? 看楼下说的,有数签就被过了,没有哪种是万能的。。

不,原来老版本卡巴对隐藏加载驱动,会有红框提示,现在卡巴什么驱动都放过!这还是卡巴现在的设计上太大意了!我以前就测试过病毒对抗杀软,只要病毒加驱动成功,没有哪家杀软能抗衡!包括杀软自我保护功能!
www-tekeze
发表于 2018-12-5 22:00:05 | 显示全部楼层
kaba666 发表于 2018-12-5 21:50
不,原来老版本卡巴对隐藏加载驱动,会有红框提示,现在卡巴什么驱动都放过!这还是卡巴现在的设计上太大 ...

详细不清楚,对国外杀软没太多了解。。。但你说那个信任模式仍有漏洞,比如CCleaner闹的那件事,所以我说没有哪种是万能的。。。
记录微笑
发表于 2018-12-5 22:15:15 | 显示全部楼层
www-tekeze 发表于 2018-12-5 21:21
360也是默认开启,关不掉。。。火绒那个写MBR的也是默认不开启,反正都想减少弹窗,提升体验,和火绒官人 ...

其实我认为GD有意隐藏了主防关闭按钮蛮好的,保证了用户即使关闭了文件系统监控后还有一道防线。
www-tekeze
发表于 2018-12-5 22:24:37 | 显示全部楼层
whl2606555 发表于 2018-12-5 22:15
其实我认为GD有意隐藏了主防关闭按钮蛮好的,保证了用户即使关闭了文件系统监控后还有一道防线。

隐藏?那就是直接不让关? 火绒分三项,监控是“文件实时监控”,关闭后不影响扫描,单步主防是“系统加固”,行为主防是“恶意行为监控”。。。想测主防把文件实时监控关了就行。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
记录微笑
发表于 2018-12-5 22:36:03 | 显示全部楼层
www-tekeze 发表于 2018-12-5 22:24
隐藏?那就是直接不让关? 火绒分三项,监控是“文件实时监控”,关闭后不影响扫描,单步主防是“系统加 ...

大部分杀毒软件是在托盘就可以完全关闭杀软,GD想关主防必须到主界面里关闭,而且强制在重启后打开。这样从客观上可以避免用户关闭行为监控。我看b站很多测病毒的就被GD这点给坑了。
ccboxes
发表于 2018-12-5 22:53:41 | 显示全部楼层
本帖最后由 ccboxes 于 2018-12-5 22:59 编辑
kaba666 发表于 2018-12-5 21:50
不,原来老版本卡巴对隐藏加载驱动,会有红框提示,现在卡巴什么驱动都放过!这还是卡巴现在的设计上太大 ...

大意。。。。。。。。。。。。
各大厂都有着几百人的团队,拦截驱动安装加载是有主防的安软必须具有的能力,他们会想不到?只是手动的HIPS不再开放拦截加驱这个功能。卡巴的主防PDM对于可疑加驱有专门报法,只是你没见过。

但是如果你想要安软阻止一个已经加载的恶意驱动,甚至要在没有活动安软驱动的情况下,只要病毒作者花精力针对就是不可能的。在R0,对抗手段实在太多了,以明敌暗,以后敌先,没有胜算。

对于驱动病毒,我同意@wowocock的说法,进PE铲了它,不要在受感染的系统上浪费时间。

PS:如果真的极度在乎安全,你就不该纠结安软,你应该去学习使用HIPS或白名单制的防护软件。

落华无痕
 楼主| 发表于 2018-12-5 23:06:00 来自手机 | 显示全部楼层
ccboxes 发表于 2018-12-5 22:53
大意。。。。。。。。。。。。
各大厂都有着几百人的团队,拦截驱动安装加载是有主防的安软必须具有的能 ...

就算进pe删除,也得知道病毒在哪里呢。木马运行后重启了电脑的话,杀软根本扫描不到木马。没经验的人来说,就无从下手了。除非进pe把drivers目录复制到其他目录,再重启用杀软扫描。万一不在drivers目录呢?
ccboxes
发表于 2018-12-5 23:16:47 | 显示全部楼层
本帖最后由 ccboxes 于 2018-12-5 23:19 编辑
落华无痕 发表于 2018-12-5 23:06
就算进pe删除,也得知道病毒在哪里呢。木马运行后重启了电脑的话,杀软根本扫描不到木马。没经验的人来说 ...

除非是APT级别的无文件威胁,驱动病毒是一定在注册表里有注册信息,好找的很,PE下根本藏不住。懒得找的话,各大都有可以在PE下运行的扫描器,进PE全盘扫描就是。至于手杀当然是有相关知识的人才做,小白需要做的(也只能做的)是不要关安软,以及危险操作前备份系统。

dsb2466
头像被屏蔽
发表于 2018-12-5 23:47:10 | 显示全部楼层
ccboxes 发表于 2018-12-5 22:53
大意。。。。。。。。。。。。
各大厂都有着几百人的团队,拦截驱动安装加载是有主防的安软必须具有的能 ...

其实不太认可@wowocock 进PE下进行操作,杀软的意义就是尽可能的降低用户清除病毒的难度,你不能指望一个用户他会知道如何进PE(事实上,如果用户知道如何进安全模式都是谢天谢地了。。。)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:09 , Processed in 0.108434 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表