改主页驱动木马一枚，运行后几乎免疫所有杀软

显示全部楼层 · 发表于 2018-12-11 16:04:08

泪水涟漪发表于 2018-12-11 15:50
对于没入库的也就是看gd的主防和回滚了，如果驱动被加载了，回滚一下可能会蓝。。。改天vm里测试下

GD不会回滚驱动操作

显示全部楼层 · 发表于 2018-12-11 16:23:43

whl2606555 发表于 2018-12-11 16:04
GD不会回滚驱动操作

嗝屁。。。。

显示全部楼层 · 发表于 2018-12-11 17:45:12

泪水涟漪发表于 2018-12-11 16:23
嗝屁。。。。

不能说人家加个驱动就判黑吧？不然误杀会很严重。

显示全部楼层 · 发表于 2018-12-11 19:26:46

whl2606555 发表于 2018-12-11 17:45
不能说人家加个驱动就判黑吧？不然误杀会很严重。

应该未知驱动要加载到系统目录，然后交互弹窗，让用户选择操作并上传未知病毒

显示全部楼层 · 发表于 2018-12-11 21:57:22

泪水涟漪发表于 2018-12-11 19:26
应该未知驱动要加载到系统目录，然后交互弹窗，让用户选择操作并上传未知病毒

GD还没有这种操作，至少我自己编译了一个专门加驱的软件，加载和卸载驱动好几次后GD仍然没反应。

显示全部楼层 · 发表于 2018-12-12 10:52:01

whl2606555 发表于 2018-12-11 21:57
GD还没有这种操作，至少我自己编译了一个专门加驱的软件，加载和卸载驱动好几次后GD仍然没反应。

看来是直接放了，这种玩意要是被加载前给个交互那就很爽了

显示全部楼层 · 发表于 2018-12-12 14:42:26

这个驱动病毒这么牛逼啊，看来只能PE下删除文件和相关注册表项

显示全部楼层 · 发表于 2018-12-12 19:51:10

本帖最后由卡菜! 于 2018-12-12 21:01 编辑

楼主啊，我执行了批处理，它安装了服务，还是改不了我的IE主页哦！
实机测试，Windows Embedded 8.1，无任何杀软或其它安全软件。完全依赖Win内部安全机制，而且特意降级。
附件为录屏gif：

用PowerTool查看内核，无可疑驱动：
（在我的系统里，PowerTool都无法加驱自我保护的，服没）
（PC Hunter 更差，从来都是白板，完全没用）

显示全部楼层 · 发表于 2018-12-13 13:55:16

Norton kill~

显示全部楼层 · 发表于 2018-12-16 15:46:34

今天得卡巴免费版，还没有下载就被终止了

[病毒样本] 改主页驱动木马一枚，运行后几乎免疫所有杀软

本帖子中包含更多资源

本帖子中包含更多资源