【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

lifan88

温馨小屋 发表于 2019-7-11 23:10
BD System Scan结束，并没有扫描出来病毒驱动，反倒把释放出来的真的暴风激活给杀了

对于这个告诉你个彩蛋，我在正文已经提到了，你可以查看中毒状态下的那个驱动的属性，尝试复制和一些操作，然后和你系统的真实的partmgr.sys(在drivers中)进行对比，也许可以理解为什么杀软很难受

petr0vic

qq1094250746

ESET 全杀

85683213

lifan88 发表于 2019-7-12 00:26
对于这个告诉你个彩蛋，我在正文已经提到了，你可以查看中毒状态下的那个驱动的属性，尝试复制和一些操作 ...

这应该是Rootkit的常规操作吧
BD 没有扫出来可以说BD的Rootkit扫描是装饰

或许是某一版把它改坏了吧...

85683213

温馨小屋 发表于 2019-7-11 23:40
那看来2019的ATD和18不一样啊，怕是缩水了吧。。。

应该只是代码还没copy-paste，模型还没训练好而已
2018的时候还有用到一点avc3，后来被砍了....
把代码分离到atc、gemma、ctc 之类的模组中

www-tekeze

lifan88 发表于 2019-7-12 00:26
对于这个告诉你个彩蛋，我在正文已经提到了，你可以查看中毒状态下的那个驱动的属性，尝试复制和一些操作 ...

没这种骚操作都不好意思称Rootkit吧，黑驱动成功加载，重启后劫持了系统驱动，信息都被重定向到正常驱动了。

www-tekeze

用火绒剑和PowerTool试试。。。火绒剑可看到内核的partmgr已被Hook，PT看的话多了一条partmgr.sys，显然不正常。。。用火绒专杀处理完Hook没了，partmgr也只有一条了。。

温馨小屋

lifan88 发表于 2019-7-12 00:26
对于这个告诉你个彩蛋，我在正文已经提到了，你可以查看中毒状态下的那个驱动的属性，尝试复制和一些操作 ...

我试过了，Rootkit常规操作，PCHunter里有两条partmgr，加载顺序一个是14一个是81，明显后面那个是病毒驱动，拷贝映像拷出来的是正常的partmgr.sys，pargmgr里的钩子恢复任意一个都会导致蓝屏，病毒文件无法删除，强制删除也不行，另外PCHunter已经检测出partmgr.sys有对象劫持了，提示疑似为病毒，基本上进PE杀一下就行了，楼下红伞也扫出来了，所以说BD的AntiRootkit真是差劲。。。

星河大帝

SEP kill all
牛逼

longkidd

温馨小屋 发表于 2019-7-11 13:02
卡巴关闭保护后运行病毒

重启成功加载病毒驱动，partmgr全红

请问卡巴FREE版可以吗?看宣传病毒库是一样的？只是主防弱鸡？