记一次系统主页被劫持

zhousulin5

yjwfdc 发表于 2019-7-11 11:03
我看了一下他的图，快捷方式尾巴楼主是看过了。
你考虑改名注册驱动用直接断电也是可以防的，直接断电就 ...

基本上就是你说的可能性里的1和2。
我说的改名注册驱动，是指在系统关机的过程中，一是改自身文件名字，二是改注册表；断电的情况下，它的名字没有来得及改，注册表也不会改，除非它在运行时改了注册表，但我认为一般不会这样做。如果是你所推测的情况，那么这种毒只要拔电就能杀了它，没有哪个病毒作者会主动选择这样的死法吧。而我所考虑的情况，仅仅拔电是杀不了它的，毕竟它的文件和注册表都在而且是对应的，一进系统它就能运行起来。
我还认为楼主遇到的病毒，是修改了tcpip.sys来劫持主页的，病毒的驱动主要用途还是保护自身不被找出来和修改tcpip.sys。我推测它没有在MBR里面打埋伏，当然这只是我一厢情愿的想法，事实如何还待楼主的后续验证。

yjwfdc

wowocock 发表于 2019-7-11 11:12
然后在内核里找到一个未知文件（jcDNMgbR.sys）,然后他上传的又是系统的TCPIP.sys，所以可以肯定是木马驱 ...

他是找不到jcDNMgbr.sys，才上传TCPIP.sys，不是病毒重定向

yjwfdc

zhousulin5 发表于 2019-7-11 11:17
基本上就是你说的可能性里的1和2。
我说的改名注册驱动，是指在系统关机的过程中，一是改自身文件名字， ...

如果重启前没有改名，用驱动级软件应该可以找得到。当然如果能进pe看看，就清楚很多。
防止这样找到的方法是驱动加载后，立即删除或者改名。在系统关机前回写文件或者文件改回原来名或者修改注册表，让注册表和文件对应。
上面两种办法都会因为断电关机而病毒重启失败。

蓝泽祈

没用360急救箱？对付这些很好用。

zhousulin5

yjwfdc 发表于 2019-7-11 11:34
如果重启前没有改名，用驱动级软件应该可以找得到。当然如果能进pe看看，就清楚很多。
防止这样找到的方 ...

他没有找到这个jcDNMgbR.sys，但是他的图里面是在explorer里面没有找到它，并不能因此判断其他工具也找不到它。另外，驱动级的工具也不是肯定就能发现被病毒隐藏的文件，驱动的对抗很难说谁能占尽天时地利，但通常是更猥琐的更有优势，也因此正义的杀软常常会投鼠忌器而少很多手段。
我推测tcpip.sys被改，是因为楼主说的火绒剑将其标识为未知文件。而且，利用tcpip.sys来劫持主页应该是除了给快捷方式添尾巴外最方便的。

yjwfdc

zhousulin5 发表于 2019-7-11 12:01
他没有找到这个jcDNMgbR.sys，但是他的图里面是在explorer里面没有找到它，并不能因此判断其他工具也找不 ...

在有条件进pe的情况下，进pe解决确实是最易的。
如果进pe，不需要断电式关机，直接关机进pe就可以了。之后看看mbr，再用360急救箱查一次。基本完成了。
如果还不行，就是第3种，删除浏览器重装。

fireware15

这种事情是挺累人的，所以国产软件尽量不装。

cutthesoul

http://www.newxitong.com/2014/xp.html

2512975065

wowocock 发表于 2019-7-11 10:50
补充下，也不能说排除ROOTKIT,因为360急救箱过去强大，最近开始发现一些ROOTKIT禁止任何急救箱驱动加载了。 ...

一普为明那个东西可以通过输入法注入，说不定急救箱也可以通过输入法注入

wowocock

2512975065 发表于 2019-7-11 22:55
一普为明那个东西可以通过输入法注入，说不定急救箱也可以通过输入法注入

输入法植入的漏洞N年前就封堵了。