楼主: MagicFuzzX
收起左侧

[病毒样本] 两只rootkit

[复制链接]
kaba666
发表于 2018-12-13 10:48:12 | 显示全部楼层
wowocock 发表于 2018-12-13 10:29
你有个基本概念的错误,就是木马驱动加载时序的差别可以说是天壤之别。真正考验杀软技术的是木马加载后, ...

关键是现在还没有那个杀软有能力清除掉大多数,包括变种类复杂类的驱动病毒!像这卡巴可以都建议到PE处理!驱动这东西都是底成的,专门对付方这些驱动病毒,在系统下解决,目前也只有做个专杀,不知道我说得对不?
www-tekeze
发表于 2018-12-13 10:48:55 | 显示全部楼层
wowocock 发表于 2018-12-13 10:35
装个WIN7 64位虚拟机测试即可。大多样本都没影响。

本子老了所以装的x86,我系统做得有Ghost,其它盘放到影子里,没多少危险。

不过考虑下换个64位吧,虚拟机更安全也更方便,恢复快照就行。
wowocock
发表于 2018-12-13 10:51:56 | 显示全部楼层
kaba666 发表于 2018-12-13 10:48
关键是现在还没有那个杀软有能力清除掉大多数,包括变种类复杂类的驱动病毒!像这卡巴可以都建议到PE处理 ...

360急救箱就能做到,包括所有BOOTKIT,和ROOTKIT,如果不能查杀掉,可以提供样本,我们都会提供支持查杀的。
kaba666
发表于 2018-12-13 10:53:20 | 显示全部楼层
wowocock 发表于 2018-12-13 10:29
你有个基本概念的错误,就是木马驱动加载时序的差别可以说是天壤之别。真正考验杀软技术的是木马加载后, ...

你说得很对,大老就是不一样!
kaba666
发表于 2018-12-13 11:01:28 | 显示全部楼层
wowocock 发表于 2018-12-13 10:51
360急救箱就能做到,包括所有BOOTKIT,和ROOTKIT,如果不能查杀掉,可以提供样本,我们都会提供支持查杀的 ...

关键是这个问题,360急救箱在无法进入系统的情况下,无法使用,就象我昨晚上测试,系统卡在开机启动页面,进不了系统,安全模式也进不了,怎么操作360急救箱!再一个,我昨晚恢复系统了,可以进系统了,但是系统还是破坏了,没有网络,卡巴软件也不能正常运行了!360急救箱那么依赖云的!没网络了,能办到?
wowocock
发表于 2018-12-13 11:07:52 | 显示全部楼层
本帖最后由 wowocock 于 2018-12-13 11:09 编辑
kaba666 发表于 2018-12-13 11:01
关键是这个问题,360急救箱在无法进入系统的情况下,无法使用,就象我昨晚上测试,系统卡在开机启动页面 ...

我说的是木马能正常加载的情况下,因为除非作者烂,否则大多数情况下都能加载,还有的问题就是你乱用其他杀软,导致误删系统文件。虽然急救箱比较依赖于云,但对于BOOTKIT和ROOTKIT来说,即使不联网也可以处理大部分,无需依赖云,当然这里的断网主要是木马干扰杀软联网,如果其他问题,则可使用断网急救箱修复网络本身问题。。
kaba666
发表于 2018-12-13 11:11:56 | 显示全部楼层
本帖最后由 kaba666 于 2018-12-13 11:16 编辑
wowocock 发表于 2018-12-13 11:07
我说的是木马能正常加载的情况下,因为除非作者烂,否则大多数情况下都能加载,还有的问题就是你乱用其他 ...

对于吴删系统文件的杀软,不过还有个问题是,病毒破坏了系统文件,或被染毒,这个如果杀软清除不掉,那也没那个可以有效解决!同样系统被破坏!不过我还是感觉PE下处理好!效率高!但不保证病毒破坏了系统文件,或被染毒,杀软同样杀被染毒的系统文件!
wowocock
发表于 2018-12-13 11:14:20 | 显示全部楼层
kaba666 发表于 2018-12-13 11:11
对于吴删系统文件的杀软,我不会用,基本都是没实力的杀软公司研发的!不过我还是感觉PE下处理好!效率高 ...

是的,急救箱也有WINPE版,基本上可以解决很多棘手问题,也降低很多开发难度。但对于很多小白来说,都不知道什么是PE,所以中毒下查杀虽然很艰苦,但也一直在做。
www-tekeze
发表于 2018-12-13 14:47:03 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-12-13 15:33 编辑
落华无痕 发表于 2018-12-13 10:36
删除驱动文件的话,注意备份partmgr.sys和tcpip.sys。不然进不去系统了。

没错!已退出影子实机测试,大概情况是:

1. 重启后用智量扫描那两个驱动,无发现,相信已被定位到系统驱动,手动删除那两个驱动,可轻松删除但重启后宕机! 上个手机拍的照片,显示partmgr.sys丢失,进PE用Ghost映像浏览器提取.Gho包里的这个驱动,放回到drivers目录里,但重启停留在“正在启动 Windows”界面,再次进PE提取tcpip.sys放到drivers目录里,重启可以正常进入系统,但无法联网!

2. 用火绒专杀扫描发现4项威胁,处理后重启再次扫描,只发现一项威胁,注册表里的相应驱动信息被删除了,用火绒剑看也看不到那两个驱动,但桌面上的两个驱动文件还在,手动删除能删掉MjY3OW.sys,另一个删不掉,显示该项目不存在,用火绒粉碎机删除后重启还在,用火绒剑删除显示找不到该项目,打不死的小强!


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-12-13 14:51:24 | 显示全部楼层
www-tekeze 发表于 2018-12-13 14:47
没错!已退出影子实机测试,大概情况是:

1. 重启后用智量扫描那两个驱动,无发现,相信已被定位到系 ...

3. PE里删掉FDSOIvdaosifid.sys,重启后火绒专杀扫描没问题了,但火绒快速扫描发现一个系统修复项,就是BFE服务注册表信息有问题 ( 和@kaba666 说的完全相同 ), 才导致的无法联网,但处理后重启仍然联不了网,火绒快速扫描仍然是那个BFE服务项问题,仍然类似于打不死的小强!

4. 上360急救箱完整版,由于无法联网只能采用离线模式,发现3项问题但处理后重启仍然无法联网。。。@wowocock  问下大佬,就算在线模式这个BFE问题还是无法修复吧? 这应该和联不联网没关系。

5. 进PE用Ghost搞定,呵呵,Ghost是王道,这句话没错!

PS:Ghost还原时忘了备份桌面上的各种截图了。。    但请不用怀疑,情况完全属实!!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 15:51 , Processed in 0.092074 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表