两只rootkit

显示全部楼层 · 发表于 2018-12-14 10:44:56

kaba666 发表于 2018-12-14 10:34
哎！不知道你们怎么在测，今天再次测试，病毒运行成功后，重启电脑！用卡巴扫描那两个驱动，检测不到威胁 ...

我先装卡巴，然后更新，完了暂停保护。

运行两个驱动，重启，用卡巴扫描出两个病毒，不重启清除都干掉了俩。

显示全部楼层 · 发表于 2018-12-14 10:46:30

kaba666 发表于 2018-12-14 10:40
改主页那个运行成功后，杀毒软件可以发现，也能发现，就是删不了，一删就关机！这个两驱动就不一样，运行 ...

我卡巴用的快速扫描，不是右键扫描，右键估计重定向去扫描的系统文件。

显示全部楼层 · 发表于 2018-12-14 10:47:50

pal家族发表于 2018-12-14 10:43
-freboot
for extended mode for TDSSKiller and KVRT. Reboot is needed.有兴趣的可以试试。。。。。

对的！必须重新引导！第一次运行按要求重启后运行扫描，设置里必须勾选一些相关项目！

显示全部楼层 · 发表于 2018-12-14 10:50:35

落华无痕发表于 2018-12-14 09:37
没运行怎么查杀？运行后重启，tdsskiller检测出两个，重启干掉。

Tdsskiller是Rootkit工具，昨晚我肯定是加载后也扫描过，没任何发现！所以我才那样说。。。刚才又试找到原因了，我是在影子里，相信是SD影响了Tdsskiller的判断，我退出影子后加载完毕，用Tdsskiller扫描可以发项两项威胁，但处理完重启进系统时出错，看相片。。。

显示全部楼层 · 发表于 2018-12-14 10:52:02

落华无痕发表于 2018-12-14 10:44
我先装卡巴，然后更新，完了暂停保护。

运行两个驱动，重启，用卡巴扫描出两个病毒，不重启清除都干掉 ...

运行成功后，重启后卡巴检测不到了！如果检测得到，那病毒绝对没运行成功！你不相信问大佬！

显示全部楼层 · 发表于 2018-12-14 10:52:42

落华无痕发表于 2018-12-14 10:46
我卡巴用的快速扫描，不是右键扫描，右键估计重定向去扫描的系统文件。

我没快速扫描

显示全部楼层 · 发表于 2018-12-14 10:53:18

本帖最后由 www-tekeze 于 2018-12-14 10:54 编辑

www-tekeze 发表于 2018-12-14 10:50
Tdsskiller是Rootkit工具，昨晚我肯定是加载后也扫描过，没任何发现！所以我才那样说。。。刚才又试找到 ...

这两个和你发那个劫持主页的情况不一样，你那个是引导型驱动，刚加载完状态是“已停止”，所以必须重启！而这两个并不是引导型驱动，加载后就是“正在运行”，已经生效了，当然和重启后的情况不完全一样。。。这两个加载完用火绒专杀就可以查出4项威胁，不需要重启也不需要退出影子，但Tdsskiller却扫不出来，应该就是SD影响了它的判断，导致我的测试出错！请大佬给看下。。。@wowocock

显示全部楼层 · 发表于 2018-12-14 10:58:23

www-tekeze 发表于 2018-12-14 10:50
Tdsskiller是Rootkit工具，昨晚我肯定是加载后也扫描过，没任何发现！所以我才那样说。。。刚才又试找到 ...

你怎么才扫描到两项，看我发的贴子图片，都是4项

显示全部楼层 · 发表于 2018-12-14 11:01:11

www-tekeze 发表于 2018-12-14 10:53
这两个和你发那个劫持主页的情况不一样，你那个是引导型驱动，刚加载完状态是“已停止”，所以必须重启！ ...

这些驱动加载完都必须要重启。所有驱动，请重启后再测试。因为这才是木马驱动真正的运行环境。

显示全部楼层 · 发表于 2018-12-14 11:01:59

kaba666 发表于 2018-12-14 10:58
你怎么才扫描到两项，看我发的贴子图片，都是4项

那我怎么知道，86楼也是两项啊，和我的截图完全一样。

[病毒样本] 两只rootkit

本帖子中包含更多资源