一发rootKit

www-tekeze

www-tekeze 发表于 2019-7-22 11:01
楼主说“过了智量主防，扫描未测。”，主防确实被过！扫描我替楼主测下。。

首先断网然后恢复虚拟 ...

已重启试过，不会加载驱动（否则火绒也会有弹窗），So，用智量快扫就可以全部干掉，根本没必要上急救箱！
双击后产生了5个恶意文件，包括本体总共6个，大家的杀软能发现几个。。

PS：火绒快扫只发现了2个，一个报挖矿、一个报Rootkit，加本体总共3个。

swizzer

www-tekeze 发表于 2019-7-22 11:10
已重启试过，不会加载驱动（否则火绒也会有弹窗），So，用智量快扫就可以全部干掉，根本没必要上急救箱！ ...

在我这是加驱了的，我也不知道为啥。他还挂了几个钩子，不过我没截图。。。
然后现在再测就死活不加驱了

www-tekeze

swizzer 发表于 2019-7-22 11:05
感谢测试~其实这个样本动作很大，连AppInit_DLLs都修改了，不清楚智量为何不杀。。。

忘了提了，我的智量前天已被锁库，检测率会有一定衰减（等衰减到一定程度时说不定能搞个测试，嘻嘻）

样本不错！暴露了智量的一些问题。。。以后多找点高质量样本。。

swizzer

www-tekeze 发表于 2019-7-22 11:15
样本不错！暴露了智量的一些问题。。。以后多找点高质量样本。。

感谢支持~可以去看看我的另一个样本
https://bbs.kafan.cn/thread-2155124-1-1.html
应该是个新的sodinokibi

www-tekeze

swizzer 发表于 2019-7-22 11:14
在我这是加驱了的，我也不知道为啥。他还挂了几个钩子，不过我没截图。。。
然后现在再测就死活不加驱了 ...

？？ 我恢复快照测过两次，都不会加驱，否则火绒也会拦截，重启后用智量扫描和没重启时完全相同。。

加不加驱环境影响这么大？抽空我再试试。。。说不定加驱还有可能触发智量主防，然后顺着进程链追溯回来，全部干掉。。

a233

swizzer

www-tekeze 发表于 2019-7-22 11:21
？？ 我恢复快照测过两次，都不会加驱，否则火绒也会拦截，重启后用智量扫描和没重启时完全相同。。[:06: ...

我也很奇怪啊，只有第一次测试加驱了，后面连测几次都没反应。。。
当然也不排除是我系统内的其他rootkit毕竟双击多了容易翻车，尤其是我这种喜欢测试清除的人

www-tekeze

swizzer 发表于 2019-7-22 11:27
我也很奇怪啊，只有第一次测试加驱了，后面连测几次都没反应。。。
当然也不排除是我系统内的其他rootki ...

刚才测飘的免杀智量，又测了一下你这个，还是不会加驱仅仅只是释放。。

https://bbs.kafan.cn/forum.php?m ... &page=5#pid44461867

swizzer

www-tekeze 发表于 2019-7-22 11:43
刚才测飘的免杀智量，又测了一下你这个，还是不会加驱仅仅只是释放。。

https://bbs.kafan.cn/f ...

没事，不加就不加吧，不加驱更好

智量官方

www-tekeze 发表于 2019-7-22 11:01
楼主说“过了智量主防，扫描未测。”，主防确实被过！扫描我替楼主测下。。

首先断网然后恢复虚拟 ...

您好
我们测试了一下 暂时没有加载驱动 我们会再进一步测试分析
当智量基础实时监控被关闭之后 就会丧失一部分能力 因为基础实时监控是包含文件监控的 文件监控可以记录文件之前的关系