搜索
楼主: lifan88
收起左侧

[病毒样本] 【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

  [复制链接]
温馨小屋
发表于 2019-7-21 10:30:29 | 显示全部楼层
windows7爱好者 发表于 2019-7-19 23:28
虚拟机win7 x64环境
BD 2020 24.0.3.15版本
双击运行重启后中招

前几年那个rootkit我也看了,那个驱动没有做太多隐藏措施,只是把自己弄到驱动程序里让杀软容易把系统杀废,基本是个杀软都能扫出来,本帖这个做了很多隐藏操作,结果一下就完蛋了
lifan88
 楼主| 发表于 2019-7-22 00:15:42 | 显示全部楼层
AlphaRabbit 发表于 2019-7-21 05:19
还好不是那种PCH一眼看不出来的RTK。
就像那个主页保安的Rookit驱动,PCH一眼看过去根本不会发现异常( ...

在2013年我奶奶家里就中过淘宝客rootkit,也是和驱动互换信息的,那个时候pch还是Xunter,看不到内核劫持的,但是其他项很明显,可以抓出来。。。实际上你更新驱动也会有提示内核文件劫持。。。这个不是主要判断点,我从我朋友机子里确定有ROOTKIT的原因还是partmgr.sys的钩子挂满了。。我想了一下就没有那个软件加载驱动会把一个表的内核钩子挂满的。。。第一个先例就是The Mark Rootkit,不知道是对那个ntoskrnl.exe做了什么导致整个SSTD表全部红,详情看我在2013年的例子:https://bbs.kafan.cn/thread-1469826-1-1.html
lifan88
 楼主| 发表于 2019-7-22 00:16:15 | 显示全部楼层
温馨小屋 发表于 2019-7-21 10:25
怎么会看不到异常呢,你都看了什么啊,在内核页面下的对象劫持,本帖里的病毒运行后PCH会提示partmgr被劫 ...

实际上你更新驱动也会有提示内核文件劫持。。。这个不是主要判断点,我从我朋友机子里确定有ROOTKIT的原因还是partmgr.sys的钩子挂满了。。
lifan88
 楼主| 发表于 2019-7-22 00:18:56 | 显示全部楼层
AlphaRabbit 发表于 2019-7-21 05:19
还好不是那种PCH一眼看不出来的RTK。
就像那个主页保安的Rookit驱动,PCH一眼看过去根本不会发现异常( ...

实际上如果要针对某个人,那个人不是相关行业的你被监控10年你都不知道
温馨小屋
发表于 2019-7-22 09:13:47 | 显示全部楼层
lifan88 发表于 2019-7-22 00:16
实际上你更新驱动也会有提示内核文件劫持。。。这个不是主要判断点,我从我朋友机子里确定有ROOTKIT的原 ...

不,更新导致的对象劫持重启就没了,但是病毒会一直存在,急救箱清理的时候也会导致对象劫持,但是重启就没了
温馨小屋
发表于 2019-7-22 09:19:12 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-7-22 09:28 编辑
lifan88 发表于 2019-7-22 00:15
在2013年我奶奶家里就中过淘宝客rootkit,也是和驱动互换信息的,那个时候pch还是Xunter,看不到内核劫持 ...

PCH之前叫Xuetr。。。

你那个2013年的贴里并没有发现病毒驱动劫持其他驱动啊,没有对象劫持很正常吧
另外,XP系统内核的限制比win10要小得多,那时候实现RootKit比现在容易的多,直接通过挂钩也可以完美隐藏自己
lifan88
 楼主| 发表于 2019-7-22 12:53:15 | 显示全部楼层
温馨小屋 发表于 2019-7-22 09:19
PCH之前叫Xuetr。。。

你那个2013年的贴里并没有发现病毒驱动劫持其他驱动啊,没有对象劫持很正常吧

完蛋,记忆受损,满口胡言了
bbszy
发表于 2019-7-22 21:44:26 | 显示全部楼层
本帖最后由 bbszy 于 2019-7-24 00:28 编辑

win10 x64 v1803

分别测试mcafee livesafe 16.0R19、SEP14、小红伞pro、ZA Extreme

样本本身测试的杀软都已入库,故先安装杀软然后关闭监控、双击样本后重启,用PCH查看驱动被标红,感染成功,然后打开监控并扫描。咖啡、SEP和红伞除了激活本身的东西扫不出任何问题,红伞还特别设置了扫描所有文件类型、扫描前检测rootkit。ZA的话由于基本就是卡巴的驱动加引擎,所以结果和卡巴一样,顺利清除,就是这软件使用体验很差,没有卡巴的“在不重启的情况下尝试清除”,只能选高级清除,选了之后系统几乎动不了,等待清除完自动重启,用PCH看驱动正常,未见标红。

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 感谢支持,欢迎常来: )

查看全部评分

bbszy
发表于 2019-7-22 22:43:53 | 显示全部楼层
mr_bean_forever 发表于 2019-7-11 11:45
McAfee 杀了2个压缩包内4个文件,Kill all

但是运行后就扫描都扫不到了
7740248
发表于 2019-7-23 17:40:04 | 显示全部楼层
有人试一下用360杀毒或者360卫士去清除这个rootkit吗?不用急救箱
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-17 11:37 , Processed in 0.068229 second(s), 16 queries .

快速回复 返回顶部 返回列表