两只rootkit

显示全部楼层 · 发表于 2018-12-14 11:03:58

www-tekeze 发表于 2018-12-14 11:01
那我怎么知道，86楼也是两项啊，和我的截图完全一样。

搞不懂了！

显示全部楼层 · 发表于 2018-12-14 11:08:52

wowocock 发表于 2018-12-14 11:01
这些驱动加载完都必须要重启。所有驱动，请重启后再测试。因为这才是木马驱动真正的运行环境。

大佬说的是，Rootkit应该是这样，要得到准确测试结果，必须重启。。。我那个是被SD影响了Tdsskiller，但没影响火绒专杀，都是底层的也到不奇怪。。。@dreams521 你装得有影子，试下影子模式里加载完，Tdsskiller能否查到威胁。

显示全部楼层 · 发表于 2018-12-14 11:11:02

kaba666 发表于 2018-12-14 10:58
你怎么才扫描到两项，看我发的贴子图片，都是4项

另外两个是vmware的，看清楚点。

至于卡巴，还真是快速扫描的问题，扫描到99%才能发现那两个驱动，在那之前扫描到也是安全。

我安装后还没更新过病毒库都检测到了。上图。

这是直接右击扫描的。估计是重定向去扫描系统文件了

显示全部楼层 · 发表于 2018-12-14 11:14:09

落华无痕发表于 2018-12-14 11:11
另外两个是vmware的，看清楚点。

至于卡巴，还真是快速扫描的问题，扫描到99%才能发现那两个驱 ...

看到了！卡巴还是厉害吧？

显示全部楼层 · 发表于 2018-12-14 11:21:24

www-tekeze 发表于 2018-12-14 10:50
Tdsskiller是Rootkit工具，昨晚我肯定是加载后也扫描过，没任何发现！所以我才那样说。。。刚才又试找到 ...

这是什么exe？进的命令行安全模式？注册表搜索下那个guid看看。

显示全部楼层 · 发表于 2018-12-14 11:44:29

Tdsskiller处理后那两个驱动被删除了，注册信息也被删除，再次扫描没发现问题，本来应该说很成功，但就是每次开机都会有那个出错的登录界面，点确定后可以进入系统，但有那个蛋疼的界面怎么用？已经用Ghost还原。。

显示全部楼层 · 发表于 2018-12-14 11:46:15

落华无痕发表于 2018-12-14 11:21
这是什么exe？进的命令行安全模式？注册表搜索下那个guid看看。

算了，没仔细看不想折腾，Ghost是王道。。

显示全部楼层 · 发表于 2018-12-14 11:51:41

www-tekeze 发表于 2018-12-14 11:44
Tdsskiller处理后那两个驱动被删除了，注册信息也被删除，再次扫描没发现问题，本来应该说很成功，但就是每 ...

我用TDSSKiller处理后,怎么没事啊？开机一切正常！要不你再详细测试哈！

显示全部楼层 · 发表于 2018-12-14 12:09:09

www-tekeze 发表于 2018-12-14 11:44
Tdsskiller处理后那两个驱动被删除了，注册信息也被删除，再次扫描没发现问题，本来应该说很成功，但就是每 ...

倒霉的孩子，我特地实机测试了（win7 x64），tdsskiller成功删除两个，并没有任何错误。

估计你电脑什么程序误导了tdsskiller？

显示全部楼层 · 发表于 2018-12-14 12:44:49

VMware 你们用什么版本？都可以设置硬盘独立非永久写入，关机后，重启就是全新的系统，不用重建啊。
用VMwarePlayer更简洁，但要手工在vmx插入一句 scsi0:0.mode = "independent-nonpersistent" 实现非永久写入。

[病毒样本] 两只rootkit