改主页驱动木马一枚，运行后几乎免疫所有杀软

显示全部楼层 · 发表于 2018-12-6 16:11:04

本帖最后由 www-tekeze 于 2018-12-6 16:13 编辑

落华无痕发表于 2018-12-6 15:49
你从哪里得出只劫持ie的结论。我是因为虚拟机只有edge和ie，而edge不劫持，才用ie测试。

你之前的标题是IE主页劫持，所以我跟着你来。。。因为无法导入注册表，所以没被锁首，如果可以我到想看看火绒的主页保护能否抗得住，另外，我的主力浏览器是TSBrowser，无主页设计，如何劫持？

看过你的截图了，其它浏览器也会中招。

显示全部楼层 · 发表于 2018-12-6 16:17:39

本帖最后由 wowocock 于 2018-12-6 16:19 编辑

cdwcctv 发表于 2018-12-6 15:57
噗....他们图啥啊，就为了锁主页赚点流量...

木马技术分核心技术和外围技术，外围技术包括锁主页，劫持流量，DDOS,挖矿，勒索==，什么流行，赚钱就用什么。但核心技术多年了都是一样的，基本就是BOOTKIT+ROOTKIT，当然还有没什么技术含量的白利用。包括APT攻击，漏洞利用==，基本上就是给我一次机会，就让你万劫不复，想怎么干你就怎么干你，用什么杀软都是白搭。而用安全软件只是增加难度而已，同时也考验木马作者的核心能力，淘汰一大部分低水平作者。

显示全部楼层 · 发表于 2018-12-6 16:17:52

wowocock 发表于 2018-12-6 16:08
PT的驱动有可能被木马利用，所以被他们拉黑了。

好吧，PT是ARK有可能被利用，但SBie的破解驱动也会被利用？对这事我耿耿于怀呢。。

害得我还得去用Ghost还原。。

显示全部楼层 · 发表于 2018-12-6 16:20:19

www-tekeze 发表于 2018-12-6 16:11
你之前的标题是IE主页劫持，所以我跟着你来。。。因为无法导入注册表，所以没被锁首，如果可以我到想看看 ...

你是启动驱动后才导入注册表吧？必须安装后和启动前导入（批处理运行版就是这顺序），那些data1 data2估计包含主页劫持的数据。
木马启动后，360安全浏览器安装死慢死慢，还蓝屏，试了两次蓝屏两次，最严重的一次系统进不去了，删了木马驱动也不管用。

显示全部楼层 · 发表于 2018-12-6 16:20:41

www-tekeze 发表于 2018-12-6 16:17
好吧，PT是ARK有可能被利用，但SBie的破解驱动也会被利用？对这事我耿耿于怀呢。。

害得我还得 ...

its a long story,8-) 用急救箱从隔离区恢复你的误杀驱动即可。

显示全部楼层 · 发表于 2018-12-6 16:21:42

wowocock 发表于 2018-12-6 16:20
its a long story,8-) 用急救箱从隔离区恢复你的误杀驱动即可。

360上班很闲么

显示全部楼层 · 发表于 2018-12-6 16:22:37

dsb2466 发表于 2018-12-6 16:21
360上班很闲么

上卡饭扯谈也算工作一部分

显示全部楼层 · 发表于 2018-12-6 16:24:22

wowocock 发表于 2018-12-6 16:22
上卡饭扯谈也算工作一部分

北京？

显示全部楼层 · 发表于 2018-12-6 16:26:21

wowocock 发表于 2018-12-6 16:22
上卡饭扯谈也算工作一部分

大佬

显示全部楼层 · 发表于 2018-12-6 16:28:11

wowocock 发表于 2018-12-6 16:17
木马技术分核心技术和外围技术，外围技术包括锁主页，劫持流量，DDOS,挖矿，勒索==，什么流行，赚钱就用 ...

“而用安全软件只是增加难度而已，同时也考验木马作者的核心能力，淘汰一大部分低水平作者。”

大实话。。。但遇到Exploit还是很容易被过，当然漏洞很值钱，没那么容易被利用。。

[病毒样本] 改主页驱动木马一枚，运行后几乎免疫所有杀软

本帖子中包含更多资源