【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

显示全部楼层 · 发表于 2019-7-11 23:34:30

85683213 发表于 2019-7-11 19:33
话说没合法数签的驱动一般是没办法加载的吧
楼主怎么中的啊

很奇怪对吧？你加载试试看吧。我实机测试了，我都惊了，我以为64位系统会强制要签名证书合法。。要不就是和前面的老哥提到情况，我系统的强制签名和Secure boot有问题

显示全部楼层 · 发表于 2019-7-11 23:37:21

温馨小屋发表于 2019-7-11 23:01
被吊销的签名也是可以加载的，当时破解sandboxie就是给驱动签上海域联然后加载

哇还有这种操作

显示全部楼层 · 发表于 2019-7-11 23:39:31

lifan88 发表于 2019-7-11 23:37
哇还有这种操作

似乎到1607之后微软才缩紧驱动加载要求，必须有微软的签名才能加载

显示全部楼层 · 发表于 2019-7-11 23:40:21

静影沉璧发表于 2019-7-11 23:24
嗯

那看来2019的ATD和18不一样啊，怕是缩水了吧。。。

显示全部楼层 · 发表于 2019-7-11 23:41:56

记录微笑发表于 2019-7-11 23:19
bd的反rootkit基本是摆设。
国外杀软除了卡巴几乎没有杀软能查出来国内的rootkit病毒，可能是地域特色。 ...

我认为大部分杀软是以精确制敌和高查杀率来避免中毒，在你运行之前杜绝，而不是针对某一种自保的ROOTKIT下功夫。对于免杀就用主防来顶。被一些漏动或者小技巧BYpass了不丢人。。但是直接正常的加载一个未知来源的驱动不拦截就有点那啥了。除非这个东西被称为wai{和谐}gua。

显示全部楼层 · 发表于 2019-7-11 23:44:48

lifan88 发表于 2019-7-11 23:41
我认为大部分杀软是以精确制敌和高查杀率来避免中毒，在你运行之前杜绝，而不是针对某一种自保的ROOTKIT ...

bd运行前扫不到，运行时不拦截，运行后也扫不到。
趋势之类的运行会直接阻止加驱操作，除非手动作死信任否则不会中毒。

显示全部楼层 · 发表于 2019-7-11 23:50:45

本帖最后由静影沉璧于 2019-7-11 23:51 编辑

温馨小屋发表于 2019-7-11 23:40
那看来2019的ATD和18不一样啊，怕是缩水了吧。。。

不好说

显示全部楼层 · 发表于 2019-7-11 23:53:52

lifan88 发表于 2019-7-11 23:41
我认为大部分杀软是以精确制敌和高查杀率来避免中毒，在你运行之前杜绝，而不是针对某一种自保的ROOTKIT ...

现在的杀软大多偏向于静态查杀，想免杀太容易了，对于驱动加载这个东西也不能一刀切，否则容易误报，所以Rootkit对抗还是有必要的，要不为什么卡巴会有定期的Rootkit搜索，可能今天这个病毒驱动没入库，明天就入库了，这样就可以把系统中的驱动干掉了，不至于像BD那样过了扫描那就对驱动束手无策了，让驱动一直潜伏下去窃取信息，就算后面BD入了库依然没办法把病毒揪出来

显示全部楼层 · 发表于 2019-7-11 23:56:29

本帖最后由温馨小屋于 2019-7-11 23:57 编辑

静影沉璧发表于 2019-7-11 23:50
不好说

那就真没办法了。。。
我都激活了三次了

全miss，这回BD我是真不敢用了。。。

显示全部楼层 · 发表于 2019-7-12 00:07:35

潜得那么深？！等天亮后，咱也打开电脑扫一扫。

[病毒样本] 【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

本帖子中包含更多资源

评分