楼主: jqj0901
收起左侧

[病毒样本] 新型锁机一只,能日UEFI

  [复制链接]
jqj0901
 楼主| 发表于 2019-1-24 12:10:35 | 显示全部楼层
wowocock 发表于 2019-1-24 11:13
应该还是R3通过WRITEFILE 写入MBR的,所以360防御应该没问题。即使没拉黑,不知道为啥火绒不行。
之所以 ...

居然被你爆破了厉害!

我记得我把什么EFI备份DBR备份全删了,GPT格式磁盘最后几个扇区被我存放了一些关键数据,被加密的DBR扇区偏移都在里面,加密手段很简单!是异或加密,不过用来异或的值都是随机的
a8855942
发表于 2019-1-24 13:17:59 | 显示全部楼层
诺顿B杀。
www-tekeze
发表于 2019-1-24 13:39:09 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-1-24 13:41 编辑
wowocock 发表于 2019-1-24 11:13
应该还是R3通过WRITEFILE 写入MBR的,所以360防御应该没问题。即使没拉黑,不知道为啥火绒不行。
之所以 ...

前面楼主不是说Uefi在磁盘最后扇区的备份数据已被覆写了吗?还能恢复? 过于技术的细节我可不懂。。。

晚上到火绒论坛发贴,请两位技术大佬看看,怎么就被绕过了,火绒主要是磁盘微端口的HOOK,这么不济事?? 360、微点,还有飘的速度卫士都能拦下,只有火绒被吊打,怎一个惨字了得。。
www-tekeze
发表于 2019-1-24 13:40:11 | 显示全部楼层
夜轩寒月 发表于 2019-1-24 12:07
加壳加签名的话会报不

如果是受信任的签名当然就不会报,但像上海域联这类列入黑名单的,没签名还更好!
你好,再见
头像被屏蔽
发表于 2019-1-24 13:45:18 来自手机 | 显示全部楼层
www-tekeze 发表于 2019-1-24 13:40
如果是受信任的签名当然就不会报,但像上海域联这类列入黑名单的,没签名还更好!

不一定,哪怕签名无效,火绒的联网控制弹窗都会是绿色的。。。之前跟官人反应过,他们实在太固执了。。。
彩虹丶//
头像被屏蔽
发表于 2019-1-24 14:27:29 | 显示全部楼层

易语言都报这个
天璇诛仙
发表于 2019-1-24 15:03:43 | 显示全部楼层
微点直接黑屏了重启起不来
www-tekeze
发表于 2019-1-24 15:29:14 | 显示全部楼层
你好,再见 发表于 2019-1-24 13:45
不一定,哪怕签名无效,火绒的联网控制弹窗都会是绿色的。。。之前跟官人反应过,他们实在太固执了。。。

火绒的联网控制是有这个问题,就算是木马签名的也是绿色,火绒官人是很犟啊,你才知道。。
www-tekeze
发表于 2019-1-24 15:30:48 | 显示全部楼层
天璇诛仙 发表于 2019-1-24 15:03
微点直接黑屏了重启起不来

看53楼说的还以为成功了,重启还是GG。。
天璇诛仙
发表于 2019-1-24 15:36:01 | 显示全部楼层
www-tekeze 发表于 2019-1-24 15:30
看53楼说的还以为成功了,重启还是GG。。

53楼好歹弹窗了 我这里是直接黑屏关机 窗都没见一个 开机就gg了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 01:35 , Processed in 0.087706 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表