【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

显示全部楼层 · 发表于 2019-7-11 19:33:09

话说没合法数签的驱动一般是没办法加载的吧
楼主怎么中的啊

显示全部楼层 · 发表于 2019-7-11 22:57:57

85683213 发表于 2019-7-11 19:28
System Scan 呢？
Quick Scan 默认没有扫描Rootkit 吧

那不就是全盘扫描吗？快速扫描不查加载项和rootkit那查啥啊，就是个摆设？扫描整个System32目录也没有用，BD根本看不到那个文件，一扫几秒钟就扫完了

显示全部楼层 · 发表于 2019-7-11 23:00:14

温馨小屋发表于 2019-7-11 22:57
那不就是全盘扫描吗？快速扫描不查加载项和rootkit那查啥啊，就是个摆设？扫描整个System32目录也没有用 ...

我记得上次有个毒，非进救援模式查杀不可

显示全部楼层 · 发表于 2019-7-11 23:01:54

85683213 发表于 2019-7-11 19:33
话说没合法数签的驱动一般是没办法加载的吧
楼主怎么中的啊

被吊销的签名也是可以加载的，当时破解sandboxie就是给驱动签上海域联然后加载

显示全部楼层 · 发表于 2019-7-11 23:03:04

静影沉璧发表于 2019-7-11 23:00
我记得上次有个毒，非进救援模式查杀不可

我觉得BD到这已经没救了，ATD不防驱动，反RootKit能力还这么差，全靠入库杀

显示全部楼层 · 发表于 2019-7-11 23:06:50

温馨小屋发表于 2019-7-11 23:03
我觉得BD到这已经没救了，ATD不防驱动，反RootKit能力还这么差，全靠入库杀

我跑过一次，BD 2018的ATD拦住了一个exe，图暂时找不到了

不过现在BD做产品的逻辑实在令人费解。。。感觉很烂

显示全部楼层 · 发表于 2019-7-11 23:10:13

85683213 发表于 2019-7-11 19:28
System Scan 呢？
Quick Scan 默认没有扫描Rootkit 吧

BD System Scan结束，并没有扫描出来病毒驱动，反倒把释放出来的真的暴风激活给杀了

重启进安全模式看到病毒本体，但是很不幸安全模式下BD打不开

显示全部楼层 · 发表于 2019-7-11 23:15:07

静影沉璧发表于 2019-7-11 23:06
我跑过一次，BD 2018的ATD拦住了一个exe，图暂时找不到了

不过现在BD做产品的逻辑实在令人费解 ...

是本帖的样本吗，我这里关了监控之后ATD啥也没拦，驱动直接就加载成功了，重启就被成功挂钩了

显示全部楼层 · 发表于 2019-7-11 23:19:21

温馨小屋发表于 2019-7-11 23:15
是本帖的样本吗，我这里关了监控之后ATD啥也没拦，驱动直接就加载成功了，重启就被成功挂钩了

bd的反rootkit基本是摆设。
国外杀软除了卡巴几乎没有杀软能查出来国内的rootkit病毒，可能是地域特色。
上次的小马激活的rootkit也是的，卡巴可以扫到，趋势诺顿大蜘蛛bd和gd全部翻车。
但是趋势默认拦截加驱操作，会比不拦截加驱的bd等要好很多。

显示全部楼层 · 发表于 2019-7-11 23:24:57

温馨小屋发表于 2019-7-11 23:15
是本帖的样本吗，我这里关了监控之后ATD啥也没拦，驱动直接就加载成功了，重启就被成功挂钩了

嗯

[病毒样本] 【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...