改主页驱动木马一枚，运行后几乎免疫所有杀软

www-tekeze

c/mm 发表于 2018-12-5 17:07
无所谓 反正都是玩玩 真身装不是这个

那你真身装的哪个？

利刀1937

www-tekeze 发表于 2018-12-5 17:11
火绒和360对注册服务、加驱都有拦截提示，反正不明程序绝不能让他进肉核。。
对了，也不能让它联 ...

我觉得，对于这种百分百确定的丧心病狂的病毒，防御逻辑应该是，检测到之后，直接自动隔离，提示弹窗上就不要有允许或者加入信任选项了。。。然后，这样就百分百进不来了。。

落华无痕

www-tekeze 发表于 2018-12-5 17:11
火绒和360对注册服务、加驱都有拦截提示，反正不明程序绝不能让他进肉核。。
对了，也不能让它联 ...

为什么我虚拟机测试时，先装了火绒，更新到最新，重启，然后实机运行木马，火绒一点提示都没有。。。
系统win10 x64 10240。难道杀软防护性能还跟系统有关？你们火绒还做了哪些设置？手动扫描发现了。之前我是先运行病毒，再安装火绒扫描的，一点都找不到。这回先安装火绒，再运行病毒，就能找到。

pal家族

落华无痕 发表于 2018-12-5 17:19
为什么我虚拟机测试时，先装了火绒，更新到最新，重启，然后实机运行木马，火绒一点提示都没有。。。
系 ...

杀软见不到活rootkit也是正常啊，可能做了隐藏吧

www-tekeze

利刀1937 发表于 2018-12-5 17:18
我觉得，对于这种百分百确定的丧心病狂的病毒，防御逻辑应该是，检测到之后，直接自动隔离，提示弹窗上就 ...

如果扫描能识别，双击第一个弹窗就是报毒，我和kaba666都是关闭文件监控安装那个驱动的，所以只是系统加固 (单步主防) 在拦截。

落华无痕

www-tekeze 发表于 2018-12-5 17:31
如果扫描能识别，双击第一个弹窗就是报毒，我和kaba666都是关闭文件监控安装那个驱动的，所以只是系统加 ...

你们火绒是系统加固里勾选了保护系统目录了？默认没勾选。所以弹窗应该是修改系统目录或启动项触发了规则。运行木马，重启前能扫描的到，重启后火绒就扫描不到了。

www-tekeze

落华无痕 发表于 2018-12-5 17:19
为什么我虚拟机测试时，先装了火绒，更新到最新，重启，然后实机运行木马，火绒一点提示都没有。。。
系 ...

不可能吧，我在30楼最后那两个截图，一个是服务和驱动项存在风险，另一个不就是drivers目录里查到然后被隔离，但此时还没重启，因为是引导型驱动，重启后让它跑起来就晚了。

www-tekeze

落华无痕 发表于 2018-12-5 17:36
你们火绒是系统加固里勾选了保护系统目录了？默认没勾选。所以弹窗应该是修改系统目录或启动项触发了规则 ...

阻止注册服务和加驱，确实默认没勾选，我用火绒历来都是系统加固全开，防御能力会有明显提升，但弹窗较多，事前得做好排除。。

c/mm

www-tekeze 发表于 2018-12-5 17:14
那你真身装的哪个？

还是之前的AVG

测了下小A扫rootki时候。。 重启电脑之后直接起不来了。。  ,...搬大蜘蛛出来看看

松竹承茂

Windows Defender miss