手杀伪装partmgr的rootkit

kxmp

ELOHIM 发表于 2019-7-23 21:11
万年autoruns路过。
话说以前在别人电脑设备管理器里面有这个“partmgr”，我直接在里面禁用的 ...

后面这个新版的烦人了 autoruns干不掉他了

ELOHIM

kxmp 发表于 2019-7-23 21:17
后面这个新版的烦人了 autoruns干不掉他了

小白问下大佬，普通重启是怎么重启，变态重启是不是直接拔电源？

kxmp

ELOHIM 发表于 2019-7-23 21:19
小白问下大佬，普通重启是怎么重启，变态重启是不是直接拔电源？

普通就是开始菜单那个.
暴力重启就是直接关. 暴力重启他不怕回写 因为好多回写是重启时候才作的.

ELOHIM

kxmp 发表于 2019-7-23 21:20
普通就是开始菜单那个.
暴力重启就是直接关. 暴力重启他不怕回写 因为好多回写是重启时候才作的.

有开机自启动，直接关机不删掉或者禁用开机项的话，也不会回写吗？？？

kxmp

ELOHIM 发表于 2019-7-23 21:38
有开机自启动，直接关机不删掉或者禁用开机项的话，也不会回写吗？？？

删启动项关机肯定没用的.
pchunter都拿不下他. 起码启动项这地方.
暴力删文件那是另一回事.

反正主页保安 pchunter暴力删文件也作废了. 删来删去删不掉. 重启删除添加不进去
emsi的BlitzBlank重启删除那都是加驱之后了 也删不掉.

温馨小屋

kxmp 发表于 2019-7-23 22:06
删启动项关机肯定没用的.
pchunter都拿不下他. 起码启动项这地方.
暴力删文件那是另一回事.

我觉得病毒驱动做得好的话PCH是什么法都没有的，像卡巴和急救箱这类差不多都是在重启的时候阻止病毒加载来清理病毒，重启还能看到病毒驱动加载但是没有功能了。要是PCH能手杀就说明这驱动还有改进空间

kxmp

温馨小屋 发表于 2019-7-23 22:12
我觉得病毒驱动做得好的话PCH是什么法都没有的，像卡巴和急救箱这类差不多都是在重启的时候阻止病毒加载 ...

pch肯定没用啊
3个样本pch都找不到本体. 注册表法全部失效 找到了也干不下去.
文件删除没测.
powertool我也弄来了 更是被吊打 啥都看不见. 反正看见点异常也看不对地方.

注册表法为什么失效呢. 因为pchunter根本看不到什么回调之类的. 啥都看不见. 根本没有冒出来什么莫名其妙的sys搞了什么回调.
没有的事情!!!!
而且partmgr没记错的话就是卡巴干不掉的. 入库了都干不掉. 只要前面感染后面根本识别不出来.
他只要一加载成功就会去伪装然后卡巴对这个伪装无效 没记错的话.

所以说目前这几个样本好像都是吊打卡巴的

然后逛了逛坛子发现不伪装的卡巴也干不掉. 有趣了

温馨小屋

kxmp 发表于 2019-7-23 22:21
pch肯定没用啊
3个样本pch都找不到本体. 注册表法全部失效 找到了也干不下去.
文件删除没测.

也不是完全没用，最新发的那个样本完全可以用PCH手杀，另外两个可以发现位置和本体文件名，直接删除肯定是不行的，只能到PE下删了

kxmp

温馨小屋 发表于 2019-7-23 22:28
也不是完全没用，最新发的那个样本完全可以用PCH手杀，另外两个可以发现位置和本体文件名，直接删除肯定 ...

今天我弄的这个目录样本和2个partmgr pchunter手杀完全失败(文件删除没测)
失败到样本到底在哪里都根本看不见. 真实环境 根本就看不见那也别提什么pe了 根本连中毒感觉都没有.
手杀全用的gmer注册表法.

虚拟环境 看不见你这么杀啊你说说!!?

温馨小屋

kxmp 发表于 2019-7-23 22:21
pch肯定没用啊
3个样本pch都找不到本体. 注册表法全部失效 找到了也干不下去.
文件删除没测.

partmgr那个卡巴可以完美清除，谁跟你说查不出来的？那份帖子里是我测的卡巴，包括主页安保病毒这三个卡巴全能扫出来，只有主页安保清除不了，因为一清除就被强制关机。只有最新的这个挂了回调，我觉得用回调和过滤驱动隐藏不是一个好方法，太容易被干掉了