手杀伪装partmgr的rootkit

显示全部楼层 · 发表于 2019-7-23 22:34:41

温馨小屋发表于 2019-7-23 22:32
partmgr那个卡巴可以完美清除，谁跟你说查不出来的？那份帖子里是我测的卡巴，包括主页安保病毒这三个卡 ...

我记得partmgr那人说的检测不出来的. 那个东西在他那里蹲了好久他都没感觉.

显示全部楼层 · 发表于 2019-7-23 22:36:00

kxmp 发表于 2019-7-23 22:30
今天我弄的这个目录样本和2个partmgr pchunter手杀完全失败(文件删除没测)
失败到样本到底在哪里都根本 ...

目录那个可以用PCH摘除回调之后删除启动项，可以完美手杀，另外两个不行，目前卡巴的反Rootkit还没见失手，有的虽然清不掉但是可以吧病毒从系统里揪出来

显示全部楼层 · 发表于 2019-7-23 22:36:43

kxmp 发表于 2019-7-23 22:34
我记得partmgr那人说的检测不出来的. 那个东西在他那里蹲了好久他都没感觉.

他用的不是卡巴啊。。。

显示全部楼层 · 发表于 2019-7-23 22:37:33

温馨小屋发表于 2019-7-23 22:36
目录那个可以用PCH摘除回调之后删除启动项，可以完美手杀，另外两个不行，目前卡巴的反Rootkit还没见失手 ...

目录的没仔细测.
折腾的主要是partmgr那个

显示全部楼层 · 发表于 2019-7-23 22:37:56

温馨小屋发表于 2019-7-23 22:36
他用的不是卡巴啊。。。

那就是记错了.

显示全部楼层 · 发表于 2019-7-23 22:46:07

kxmp 发表于 2019-7-23 22:37
目录的没仔细测.
折腾的主要是partmgr那个

partmgr那个是用对象劫持隐藏的，卡巴不用高级清除就可以删掉本体，保护做得还算到位，PCH没啥法，PCH太有名了，恐怕很多病毒都会针对一下。

那个帖子里面我记得好像就卡巴和avast扫出来了，BD红伞什么的全miss，这真的很恐怖，要是在入库之前感染了恐怕就会一直潜伏下去了

显示全部楼层 · 发表于 2019-7-23 22:52:28

温馨小屋发表于 2019-7-23 22:46
partmgr那个是用对象劫持隐藏的，卡巴不用高级清除就可以删掉本体，保护做得还算到位，PCH没啥法，PCH太 ...

匪夷所思啊 360不是有云么. 怎么会潜伏那么久奇怪呢.
难道那个文件直接读取读不出来么.

显示全部楼层 · 发表于 2019-7-23 22:56:05

kxmp 发表于 2019-7-23 22:52
匪夷所思啊 360不是有云么. 怎么会潜伏那么久奇怪呢.
难道那个文件直接读取读不出来么.

如果360在那个时候有能力上报的话肯定老早就报毒了

显示全部楼层 · 发表于 2019-7-23 22:56:50

kxmp 发表于 2019-7-23 22:52
匪夷所思啊 360不是有云么. 怎么会潜伏那么久奇怪呢.
难道那个文件直接读取读不出来么.

我测过，360染毒之后根本读不到那个文件，直接就凉了
包括BD红伞之类的miss掉的杀软基本都读不到那个文件

显示全部楼层 · 发表于 2019-7-23 22:57:18

温馨小屋发表于 2019-7-23 22:56
我测过，360染毒之后根本读不到那个文件，直接就凉了

那估计是360没有底层读取扫描吧....

[其他相关] 手杀伪装partmgr的rootkit