搜索
楼主: lifan88
收起左侧

[病毒样本] 【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

  [复制链接]
lifan88
 楼主| 发表于 2019-7-12 00:26:18 | 显示全部楼层
温馨小屋 发表于 2019-7-11 23:10
BD System Scan结束,并没有扫描出来病毒驱动,反倒把释放出来的真的暴风激活给杀了

对于这个告诉你个彩蛋,我在正文已经提到了,你可以查看中毒状态下的那个驱动的属性,尝试复制和一些操作,然后和你系统的真实的partmgr.sys(在drivers中)进行对比,也许可以理解为什么杀软很难受
petr0vic
发表于 2019-7-12 05:10:27 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qq1094250746
发表于 2019-7-12 07:41:13 | 显示全部楼层
ESET 全杀
85683213
发表于 2019-7-12 09:38:09 | 显示全部楼层
lifan88 发表于 2019-7-12 00:26
对于这个告诉你个彩蛋,我在正文已经提到了,你可以查看中毒状态下的那个驱动的属性,尝试复制和一些操作 ...

这应该是Rootkit的常规操作吧
BD 没有扫出来可以说BD的Rootkit扫描是装饰

或许是某一版把它改坏了吧...
85683213
发表于 2019-7-12 09:49:28 | 显示全部楼层
温馨小屋 发表于 2019-7-11 23:40
那看来2019的ATD和18不一样啊,怕是缩水了吧。。。

应该只是代码还没copy-paste,模型还没训练好而已
2018的时候还有用到一点avc3,后来被砍了....
把代码分离到atc、gemma、ctc 之类的模组中
www-tekeze
发表于 2019-7-12 12:05:30 | 显示全部楼层
lifan88 发表于 2019-7-12 00:26
对于这个告诉你个彩蛋,我在正文已经提到了,你可以查看中毒状态下的那个驱动的属性,尝试复制和一些操作 ...

没这种骚操作都不好意思称Rootkit吧,黑驱动成功加载,重启后劫持了系统驱动,信息都被重定向到正常驱动了。

www-tekeze
发表于 2019-7-12 12:08:37 | 显示全部楼层

用火绒剑和PowerTool试试。。。火绒剑可看到内核的partmgr已被Hook,PT看的话多了一条partmgr.sys,显然不正常。。。用火绒专杀处理完Hook没了,partmgr也只有一条了。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-7-12 13:16:28 | 显示全部楼层
lifan88 发表于 2019-7-12 00:26
对于这个告诉你个彩蛋,我在正文已经提到了,你可以查看中毒状态下的那个驱动的属性,尝试复制和一些操作 ...

我试过了,Rootkit常规操作,PCHunter里有两条partmgr,加载顺序一个是14一个是81,明显后面那个是病毒驱动,拷贝映像拷出来的是正常的partmgr.sys,pargmgr里的钩子恢复任意一个都会导致蓝屏,病毒文件无法删除,强制删除也不行,另外PCHunter已经检测出partmgr.sys有对象劫持了,提示疑似为病毒,基本上进PE杀一下就行了,楼下红伞也扫出来了,所以说BD的AntiRootkit真是差劲。。。
星河大帝
发表于 2019-7-12 15:30:19 | 显示全部楼层
SEP kill all
牛逼
longkidd
发表于 2019-7-12 15:37:37 | 显示全部楼层
温馨小屋 发表于 2019-7-11 13:02
卡巴关闭保护后运行病毒

重启成功加载病毒驱动,partmgr全红

请问卡巴FREE版可以吗?看宣传病毒库是一样的?只是主防弱鸡?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-12-11 16:27 , Processed in 0.056292 second(s), 15 queries .

快速回复 返回顶部 返回列表