手杀伪装partmgr的rootkit

kxmp

前面折腾了那个文件夹的.https://bbs.kafan.cn/forum.php?m ... 155174&pid=44470029
r3扫描工具都不行了呢. 尴尬.
R3干r0 不是不可以. 那个驱动文件是新建的 所以新建文件扫描可以抓出来文件. 应该没什么问题.
PE下试了挂载注册表 可以看到那个地方. 当然wepe一个版本 好像是2.1 我竟然开不了autoruns 一点都不方便.
还想耍下autoruns的光辉时刻呢 结果不行!! 不过重启之后注册表还都在的 我只是禁用了他. autoruns也不显示. 什么东西么!!! 估计是uid样的注册表项他不检测么.


文件夹装的一点也不像.(哪里有文件夹一样的文件 一看就知道装的. 乱七八糟回调 一看就不对劲) 我最后一个意外重启 我把正常的内核钩子弄掉了个. 然后vm提示有什么情况造成虚拟cpu停止运行.

给了2个按钮 一个是重启 一个是关闭虚拟机.
#我估计pchunter的注册表写入是直接写入 而不是像普通的那个 关机才回写. 所以哎呦一个暴力重启直接rootkit就被我干掉了. 因为我直接写入注册表禁用了他的启动. 意外的暴力重启让各种回调 重启回写(文件夹rootkit会重启回写注册表 所以估计删了都没用) 失效了 所以成功干掉!!


好了 下一个就是那个prtmgr伪装的.  这个难度高了. 我加载的是那个老版本的.
-----------------------------------------------------------------
分析网络流量. 蹲点. 发现直连ip 然后查dns.

GET /YumRkO.jit HTTP/1.1
Host: cf.iamzzx.com
Connection: close

回显

<html><head><meta http-equiv="Content-Type" content="textml;charset=UTF-8" /><style>body{background-color:#FFFFFF}</style></head><title>........................</title><script language="javascript" type="text/javascript">window.onload = function () { document.getElementById("mainFrame").src= "http://www.htuidc.com/block/"; }</script><iframe style="width:860px;height:500px;position:absolute;margin-left:-430px;margin-top:-250px;top:50%;left:50%;" id="mainFrame" src="" frameborder="0" scrolling="no"></iframe></body></html>

打开之后发现

温馨提示：
您访问的网站因未备案或涉及违规禁止访问，本页面为默认提示页面，如您是网站管理员请及时处理 。

看起来是管理员大侠成功组织了rootkit中央服务器. 保卫了人们的网络安全

然后他Get http://cf.jdhyjf.com/i9bQti.jit要注意这个备用地址起效果了.
他回显了个二进制文件. 应该是下发的配置文件.
所以这个老sys文件还没死!!!  而且他都是用的域名. 所以第一个乃至第二个主机都被封了也没事. 他换个ip就ok了!!!

仔细看了下 这2个domain都指向一个ip. 啊!!!? 看来是猜度了. 是domain被封了一个呢.

所以啊 dns大法好. 开机看下dns就知道有没有情况了.

运行后征兆和某人说的一样 就是一个红色的partmgr 没什么其他的了 都看不出来.
不太清楚配置文件到底下发没有. 不清楚备用域名是否真有用的. 这个东西到底是偷数据还是干什么的也不清楚.


然而仔细看的话会看到partmgr实际上有2个. 这就是关键.
而且gmer看到第二个大小竟然是5mb.
gmer快速扫描检测到了partmgr. 我记得正常情况下扫描是扫不出什么东西的. 而现在iat项检测到了partmgr.
然后驱动模块里面有2个partmgr 一大一小.
最后启动项里面发现了这个

没看错 这就是真实的文件. 而且伪造的描述没有骗过gmer
而在autoruns里面显示的就是其他信息.

runscanner更是成功被骗过 根本检测不出来什么.

所以综合情况还是检测出来了. 只是不太明显 容易看漏.

autoruns禁用驱动 重启之后发现被回写.
pchunter恢复partmgr 发现直接蓝屏. 果然开始对抗了呢. 天哪我好怕怕哦.

这到底是什么我也不清楚. 首先他又r0全线 那就是干什么都可以.
扫描的时候我看到svchost好几个进程 线程不对劲. 是否被注入数据了也不清楚.
他可能会接到指令 因为开机会自动请求他们服务器. 所以服务器可以下发指令 到时候再瞬间关闭防火墙.
所以这个东西基本就是干什么都可以. 甚至可以当作网络加速器.....

好了 回归正题. 他竟然都搞回写了 那怎么清除? 干瞪眼么!!!
于是我打开了gmer 注册表底层编辑器. 改了那个简称ccs002的. 发现没用呢. (查了下发现02的是备份... 最后一个正确的配置的那个)
我又打开了ccs 但是发现里面怎么每个项都是2个. 于是我改了1个. 改了之后打开的explorer窗口全部自动关闭(gmer就是那样的) 但是桌面还在
我重启了gmer发现gmer检测出来了隐藏项


直接普通重启 重启之后发现成功被清除. 红色的partmgr不见了. 2个partmgr也不存在了 只是一个了.
打开autoruns发现启动项成功被关闭. 这就叫raw编辑器的威力. 他编辑之后的数据 winapi要重启之后才能看见. Gmer是那样说的.
我估计是这个rootkit也没看见. 他用了winapi查询? 谁知道呢. 不管怎样 rootkit成功被干死了. autoruns的显示就是证明. 足以证明重启回写已经失效.


好了 现在玩个好玩的 test1就是新版本的 我运行他看看什么情况 他是否有什么改进 有什么高招
打开之后发现partmgr没红 重启之后应该生效. 顺便看看他的中央服务器域名是否换了.
结果是果然有更换. 一次性报名成功呢.

;; ANSWER SECTION:
cf.hxbnqm.com.          600     IN      A       103.122.94.71

pchunter改注册表没用 重启之后又被回写 Gmer果然厉害.
我又重新运行了文件夹的那个. 这东西还挺厉害 安全模式都能加载起效.用了Gmer之后直接被秒杀. 普通重启直接都ok.

@陈-烈焰风暴 @bbbxyoiil @lixihong10 @LisaLan @wulanmaodu @耐卡饭 @michael123 @pigiam  @LLJ杰  @Amazing
@christina7358 @Hopesky @jack1986001 @guantong @xiaomudou @liping1994 @aslprince @treeyard @nbaworldcup @读图时代

然后我又运行了主页保安. 这东西果然好变态. 基本没招了.......(很难检测) 不知道gmer是否管用呢.

lifan88

主页保安从急救箱作者的说法来看的话就是这些主页劫持的终极版了。。我的那两个都老了。。。GMER就是专治各种不服，但是查的项太少，一旦你第一的快速查询没看出问题就基本没招了，特别是复杂系统存在的情况下，我之前实机中有虚拟机驱动，火绒驱动，360驱动，还有校园网的驱动，GMER的quick scan一片东西，不如PCH来得直观，结果直观就会挨揍

lifan88

那个partmgr伪装没死？那我凉了[:02:]

kxmp

lifan88 发表于 2019-7-23 19:22
那个partmgr伪装没死？那我凉了

没有的.
而且你说的那个新版本 里面域名还是新的 根本就是活的好好的呢

kxmp

lifan88 发表于 2019-7-23 19:20
主页保安从急救箱作者的说法来看的话就是这些主页劫持的终极版了。。我的那两个都老了。。。GMER就是专治各 ...

他有一个和autoruns一样的驱动列表 仔细看还是能看出来的. 而且他的查阅 避开了伪装的partmgr真实信息.
Gmer就是有一片东西 只能说你不会用. partmtr的时候gmer都可以测出来iat劫持
跟pchunter里面红一片一个道理.
主页保安他也测出来了对象劫持的那2个 都在iat劫持里面.

要不是列表里面有那个sys. pchunter没有autoruns一样的那种驱动列表. pch在主页保安面前还彻底挂了呢.
主页保安那个gmer和pch都能看到2个acpi.sys 和partmgr.sys劫持很相似.
不过最后gmer对主页保安还是不行呢 注册表写不进去.

BE_HC

都沉迷于手杀rootkit了吗

kxmp

lifan88 发表于 2019-7-23 19:20
主页保安从急救箱作者的说法来看的话就是这些主页劫持的终极版了。。我的那两个都老了。。。GMER就是专治各 ...

pch不是直观不直观 他缺个列表 根本就看不见一些重要信息.
驱动模块绕过了就再看不见了 还不如最简单的autoruns

kxmp

BE_HC 发表于 2019-7-23 20:06
都沉迷于手杀rootkit了吗

不折腾了 浪费时间

lifan88

kxmp 发表于 2019-7-23 19:57
没有的.
而且你说的那个新版本 里面域名还是新的 根本就是活的好好的呢

FVCK！还得我在没时间的时候还在挂着火绒剑看。。。。

ELOHIM

kxmp 发表于 2019-7-23 20:06
pch不是直观不直观 他缺个列表 根本就看不见一些重要信息.
驱动模块绕过了就再看不见了 还不如最简单的a ...

万年autoruns路过。
话说以前在别人电脑设备管理器里面有这个“partmgr”，我直接在里面禁用的。重启以后，他经常出现的蓝屏不见了。