搜索
楼主: lifan88
收起左侧

[病毒样本] 【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

  [复制链接]
lifan88
 楼主| 发表于 2019-7-11 23:34:30 | 显示全部楼层
85683213 发表于 2019-7-11 19:33
话说没合法数签的驱动一般是没办法加载的吧
楼主怎么中的啊

很奇怪对吧?你加载试试看吧。我实机测试了,我都惊了,我以为64位系统会强制要签名证书合法。。要不就是和前面的老哥提到情况,我系统的强制签名和Secure boot有问题
lifan88
 楼主| 发表于 2019-7-11 23:37:21 | 显示全部楼层
温馨小屋 发表于 2019-7-11 23:01
被吊销的签名也是可以加载的,当时破解sandboxie就是给驱动签上海域联然后加载

哇还有这种操作
温馨小屋
发表于 2019-7-11 23:39:31 | 显示全部楼层
lifan88 发表于 2019-7-11 23:37
哇还有这种操作

似乎到1607之后微软才缩紧驱动加载要求,必须有微软的签名才能加载
温馨小屋
发表于 2019-7-11 23:40:21 | 显示全部楼层

那看来2019的ATD和18不一样啊,怕是缩水了吧。。。
lifan88
 楼主| 发表于 2019-7-11 23:41:56 | 显示全部楼层
记录微笑 发表于 2019-7-11 23:19
bd的反rootkit基本是摆设。
国外杀软除了卡巴几乎没有杀软能查出来国内的rootkit病毒,可能是地域特色。 ...

我认为大部分杀软是以精确制敌和高查杀率来避免中毒,在你运行之前杜绝,而不是针对某一种自保的ROOTKIT下功夫。对于免杀就用主防来顶。被一些漏动或者小技巧BYpass了不丢人。。但是直接正常的加载一个未知来源的驱动不拦截就有点那啥了。除非这个东西被称为wai{和谐}gua。
记录微笑
发表于 2019-7-11 23:44:48 | 显示全部楼层
lifan88 发表于 2019-7-11 23:41
我认为大部分杀软是以精确制敌和高查杀率来避免中毒,在你运行之前杜绝,而不是针对某一种自保的ROOTKIT ...

bd运行前扫不到,运行时不拦截,运行后也扫不到。
趋势之类的运行会直接阻止加驱操作,除非手动作死信任否则不会中毒。
静影沉璧
发表于 2019-7-11 23:50:45 | 显示全部楼层
本帖最后由 静影沉璧 于 2019-7-11 23:51 编辑
温馨小屋 发表于 2019-7-11 23:40
那看来2019的ATD和18不一样啊,怕是缩水了吧。。。

不好说

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-7-11 23:53:52 | 显示全部楼层
lifan88 发表于 2019-7-11 23:41
我认为大部分杀软是以精确制敌和高查杀率来避免中毒,在你运行之前杜绝,而不是针对某一种自保的ROOTKIT ...

现在的杀软大多偏向于静态查杀,想免杀太容易了,对于驱动加载这个东西也不能一刀切,否则容易误报,所以Rootkit对抗还是有必要的,要不为什么卡巴会有定期的Rootkit搜索,可能今天这个病毒驱动没入库,明天就入库了,这样就可以把系统中的驱动干掉了,不至于像BD那样过了扫描那就对驱动束手无策了,让驱动一直潜伏下去窃取信息,就算后面BD入了库依然没办法把病毒揪出来
温馨小屋
发表于 2019-7-11 23:56:29 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-7-11 23:57 编辑

那就真没办法了。。。
我都激活了三次了

全miss,这回BD我是真不敢用了。。。





评分

参与人数 1人气 +2 收起 理由
静影沉璧 + 2 淡定

查看全部评分

cqnc4444
发表于 2019-7-12 00:07:35 | 显示全部楼层
潜得那么深?!等天亮后,咱也打开电脑扫一扫。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-23 06:33 , Processed in 0.061266 second(s), 16 queries .

快速回复 返回顶部 返回列表