收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 两只rootkit
1 ...3456789101112... 14下一页
返回列表 发新帖
楼主: MagicFuzzX
 收起左侧

[病毒样本] 两只rootkit

[复制链接]
www-tekeze
发表于 2018-12-13 17:32:51 | 显示全部楼层
wowocock 发表于 2018-12-13 15:57
我这里测试,加载好2个驱动重启,完全没有任何问题,然后急救箱查杀2次,轻松搞定。不知道你们是怎么测试 ...

回想了下,问题应该出在被我手动删了那两个驱动,实际是误删了partmgr.sys和tcpip.sys,才导致无法进系统无法联网,虽然用.Gho提取了这两个系统驱动文件进行恢复,但BFE服务的注册信息还是被破坏,再也无法联网。。。这应该是木马驱动对手杀的一种对抗,或者就是你说的导致了不可预知情况的发生。
还没回家,晚上接着再试下,但这次不会去强删,直接上工具。。
回复

举报

www-tekeze
发表于 2018-12-13 20:45:00 | 显示全部楼层
www-tekeze 发表于 2018-12-13 17:32
回想了下,问题应该出在被我手动删了那两个驱动,实际是误删了partmgr.sys和tcpip.sys,才导致无法进系统 ...

1. 退出影子重启,加载两个木马驱动,不做其它操作稍等片刻重启,联网正常也没发现其它问题,首先看了下两个木马驱动的属性,呵呵,已被定位到两个系统驱动,分别为tcpip.sys和partmgr.sys,看图。。。直接上360急救箱,检查出两个恶意驱动,处理后重启再次扫描没问题,桌面上两个驱动已被删除,用火绒专杀看也没问题了,可以说处理很成功!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2018-12-13 20:50:34 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-12-13 20:58 编辑
www-tekeze 发表于 2018-12-13 20:45
1. 退出影子重启,加载两个木马驱动,不做其它操作稍等片刻重启,联网正常也没发现其它问题,首先看了下 ...

2. 用Ghost彻底恢复系统,然后加载两驱动,重启后用火绒专杀检查,情况和之前相同,发现4项威胁,处理后重启再次扫描仍然发现一项,不过两驱动注册表信息被删除了,但桌面上的两个木马驱动还在,但属性已改变,为空,手动删除MjY3OW.sys没事,但删除FDSOIvdaosifid.sys重启后无法联网 ( 仍然是BFE服务的注册信息被破坏,忘截图了 ),也就是说,只能在PE下删还是不能强删。。。总体来说,处理不彻底!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

落华无痕
发表于 2018-12-13 21:29:38 | 显示全部楼层
本帖最后由 落华无痕 于 2018-12-13 21:39 编辑
www-tekeze 发表于 2018-12-13 20:50
2. 用Ghost彻底恢复系统,然后加载两驱动,重启后用火绒专杀检查,情况和之前相同,发现4项威胁,处理后 ...

这回试了下火绒专杀,检测出4个,重启,干掉一个sys,另一个还在运行。

FDSOIvdaosifid.sys还运行着的时候,会被重定向到tcpip.sys,你删除这个就是删除了tcpip.sys啊!

火绒检查出的那个错误,实际上就是tcpip.sys被删除了导致的,并不是什么注册表项被破坏。

我从winsxs复制个tcpip.sys到drivers目录,重启,网络恢复正常。



试了下pchunter的文件管理功能,普通删除会删掉tcpip.sys,跟火绒剑的强制删除一样。
pchunter的强制删除不会删tcpip.sys,但是删不掉病毒驱动。只能在内核,系统回调那里,删除所有红色项目,然后删除驱动的注册表项,重启成功删除FDSOIvdaosifid.sys。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2018-12-13 21:38:08 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-12-13 21:41 编辑
落华无痕 发表于 2018-12-13 21:29
这回试了下火绒专杀,检测出4个,重启,干掉一个sys,另一个还在运行。

FDSOIvdaosifid.sys还运行着的 ...

那我情况和你不一样,看59楼。。。“再次进PE提取tcpip.sys放到drivers目录里,重启可以正常进入系统,但无法联网!”   PS:可能是我处理顺序和你不一样导致?
回复

举报

落华无痕
发表于 2018-12-13 21:43:39 | 显示全部楼层
www-tekeze 发表于 2018-12-13 21:38
那我情况和你不一样,看59楼。。。“再次进PE提取tcpip.sys放到drivers目录里,重启可以正常进入系统,但 ...

你提取的tcpip.sys不合用。

反正我用火绒扫描出的bfe问题是tcpip.sys被删除。
回复

举报

www-tekeze
发表于 2018-12-13 21:53:29 | 显示全部楼层
落华无痕 发表于 2018-12-13 21:43
你提取的tcpip.sys不合用。

反正我用火绒扫描出的bfe问题是tcpip.sys被删除。

都是同一个Gho包,就是我做的Ghost备份,就是用这个还原系统的啊,之前提取partmgr.sys也是这个包里的。
回复

举报

MagicFuzzX
 楼主| 发表于 2018-12-13 22:46:03 | 显示全部楼层
我对卡巴的rootkit清理工具和360急救箱是很相信的,这个加载后的rootkit也让大家看到了什么叫做忽悠,什么叫实力,不过着两rootkit自身有bug,还存在句柄泄露
回复

举报

www-tekeze
发表于 2018-12-13 23:12:27 | 显示全部楼层
MagicFuzzX 发表于 2018-12-13 22:46
我对卡巴的rootkit清理工具和360急救箱是很相信的,这个加载后的rootkit也让大家看到了什么叫做忽悠,什么 ...

火绒专杀只有910K,360急救箱快60M,卡巴好像快200M?  火绒专杀清理掉黑驱动的注册表信息,别在Win系统里强删,进PE删就完全没事了,当然这种对用户要求较高。。。金山木马专杀10.5MB,忘记试了,@落华无痕  你是虚拟机能否抽空试下? 我是实机老用Ghost还原就不玩了,SSD受不了。
回复

举报

MagicFuzzX
 楼主| 发表于 2018-12-13 23:25:47 | 显示全部楼层
www-tekeze 发表于 2018-12-13 23:12
火绒专杀只有910K,360急救箱快60M,卡巴好像快200M?  火绒专杀清理掉黑驱动的注册表信息,别在Win系统 ...

https://support.kaspersky.com/viruses/utility

TDSSKiller 卡巴5mb不到
回复

举报

下一页 »
1 ...3456789101112... 14下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-2 06:23 , Processed in 0.114814 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表