【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

温馨小屋

windows7爱好者 发表于 2019-7-19 23:28
虚拟机win7 x64环境
BD 2020 24.0.3.15版本
双击运行重启后中招

前几年那个rootkit我也看了，那个驱动没有做太多隐藏措施，只是把自己弄到驱动程序里让杀软容易把系统杀废，基本是个杀软都能扫出来，本帖这个做了很多隐藏操作，结果一下就完蛋了

lifan88

AlphaRabbit 发表于 2019-7-21 05:19
还好不是那种PCH一眼看不出来的RTK。
就像那个主页保安的Rookit驱动，PCH一眼看过去根本不会发现异常（ ...

在2013年我奶奶家里就中过淘宝客rootkit，也是和驱动互换信息的，那个时候pch还是Xunter，看不到内核劫持的，但是其他项很明显，可以抓出来。。。实际上你更新驱动也会有提示内核文件劫持。。。这个不是主要判断点，我从我朋友机子里确定有ROOTKIT的原因还是partmgr.sys的钩子挂满了。。我想了一下就没有那个软件加载驱动会把一个表的内核钩子挂满的。。。第一个先例就是The Mark Rootkit，不知道是对那个ntoskrnl.exe做了什么导致整个SSTD表全部红，详情看我在2013年的例子：https://bbs.kafan.cn/thread-1469826-1-1.html

lifan88

温馨小屋 发表于 2019-7-21 10:25
怎么会看不到异常呢，你都看了什么啊，在内核页面下的对象劫持，本帖里的病毒运行后PCH会提示partmgr被劫 ...

实际上你更新驱动也会有提示内核文件劫持。。。这个不是主要判断点，我从我朋友机子里确定有ROOTKIT的原因还是partmgr.sys的钩子挂满了。。

lifan88

AlphaRabbit 发表于 2019-7-21 05:19
还好不是那种PCH一眼看不出来的RTK。
就像那个主页保安的Rookit驱动，PCH一眼看过去根本不会发现异常（ ...

实际上如果要针对某个人，那个人不是相关行业的你被监控10年你都不知道

温馨小屋

lifan88 发表于 2019-7-22 00:16
实际上你更新驱动也会有提示内核文件劫持。。。这个不是主要判断点，我从我朋友机子里确定有ROOTKIT的原 ...

不，更新导致的对象劫持重启就没了，但是病毒会一直存在，急救箱清理的时候也会导致对象劫持，但是重启就没了

温馨小屋

lifan88 发表于 2019-7-22 00:15
在2013年我奶奶家里就中过淘宝客rootkit，也是和驱动互换信息的，那个时候pch还是Xunter，看不到内核劫持 ...

PCH之前叫Xuetr。。。

你那个2013年的贴里并没有发现病毒驱动劫持其他驱动啊，没有对象劫持很正常吧
另外，XP系统内核的限制比win10要小得多，那时候实现RootKit比现在容易的多，直接通过挂钩也可以完美隐藏自己

lifan88

温馨小屋 发表于 2019-7-22 09:19
PCH之前叫Xuetr。。。

你那个2013年的贴里并没有发现病毒驱动劫持其他驱动啊，没有对象劫持很正常吧

完蛋，记忆受损，满口胡言了

bbszy

win10 x64 v1803

分别测试mcafee livesafe 16.0R19、SEP14、小红伞pro、ZA Extreme

样本本身测试的杀软都已入库，故先安装杀软然后关闭监控、双击样本后重启，用PCH查看驱动被标红，感染成功，然后打开监控并扫描。咖啡、SEP和红伞除了激活本身的东西扫不出任何问题，红伞还特别设置了扫描所有文件类型、扫描前检测rootkit。ZA的话由于基本就是卡巴的驱动加引擎，所以结果和卡巴一样，顺利清除，就是这软件使用体验很差，没有卡巴的“在不重启的情况下尝试清除”，只能选高级清除，选了之后系统几乎动不了，等待清除完自动重启，用PCH看驱动正常，未见标红。

bbszy

mr_bean_forever 发表于 2019-7-11 11:45
McAfee 杀了2个压缩包内4个文件，Kill all

但是运行后就扫描都扫不到了

7740248

有人试一下用360杀毒或者360卫士去清除这个rootkit吗？不用急救箱