Bootkit.Pitou (19.04.10)

显示全部楼层 · 发表于 2019-4-10 20:01:11

本帖最后由 yjwfdc 于 2019-4-10 20:08 编辑

火绒5扫描未发现
运行，中毒。

电脑速度卫士成功防御。

电脑速度卫士 R3保护主引导记录强度和R0是一样的，只要不加驱，没有能过的。

显示全部楼层 · 发表于 2019-4-10 20:03:19

WD

Trojan:Win32/Fuerboos.A!cl

显示全部楼层 · 发表于 2019-4-10 20:33:01

，就一个. 发表于 2019-4-10 20:03
WD

Trojan:Win32/Fuerboos.A!cl

那我就不测scep了。。比不了。

显示全部楼层 · 发表于 2019-4-10 22:07:39

本帖最后由 Karna 于 2019-4-10 22:08 编辑

KSN已经响应

UDS:Backdoor.Win32.Backboot

今天只有两个人气了

显示全部楼层 · 发表于 2019-4-10 22:30:14

McAfee

显示全部楼层 · 发表于 2019-4-11 10:20:05

yjwfdc 发表于 2019-4-10 20:01
火绒5扫描未发现
运行，中毒。

r3基于API HOOK的很容易被过，人家可以直接内存重载加载DLL，然后运行重载后的DLL函数，绕过你的API HOOK，所以还是要R0防R3才比较好。

显示全部楼层 · 发表于 2019-4-11 10:28:57

wowocock 发表于 2019-4-11 10:20
r3基于API HOOK的很容易被过，人家可以直接内存重载加载DLL，然后运行重载后的DLL函数，绕过你的API HOOK ...

多谢解答，不过我这个防御用这个方法可能过不了。

显示全部楼层 · 发表于 2019-4-11 16:23:51

yjwfdc 发表于 2019-4-11 10:28
多谢解答，不过我这个防御用这个方法可能过不了。

R3防R3的操作还是比较吃力的。你这个阻止写磁盘的方式是自己打开了该磁盘然后不关闭句柄。导致后续程序无法打开磁盘来进行其他操作。但别人发现这种情况后可以枚举系统所有句柄，找到被你占用的句柄，DUPILICATE后关闭该句柄就可以写磁盘了。本地测试了下的确可以，不过代码就不放出来了，免得被坏人利用。所以还是要在驱动中拦截比较好。虽然你在开机的时候还是会检测恢复，但对于BOOTKIT来说一旦侵入成功基本也不会给你恢复的机会，在磁盘驱动的拦截将使你写不了磁盘也读不到磁盘真实的信息。

显示全部楼层 · 发表于 2019-4-12 21:01:47

安天智甲、管家无BD，均杀！

[病毒样本] Bootkit.Pitou (19.04.10)

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源