搜索
楼主: kxmp
收起左侧

[其他相关] 手杀伪装partmgr的rootkit

[复制链接]
温馨小屋
头像被屏蔽
发表于 2019-7-23 22:58:47 | 显示全部楼层
kxmp 发表于 2019-7-23 22:57
那估计是360没有底层读取扫描吧....

我前几天看了看,卡巴有4个专门的Anti-Rootkit驱动,这阵容360和BD都比不上,卡巴的驱动数量和大小都堪比微点了。。。
kxmp
 楼主| 发表于 2019-7-23 23:14:44 | 显示全部楼层
温馨小屋 发表于 2019-7-23 22:58
我前几天看了看,卡巴有4个专门的Anti-Rootkit驱动,这阵容360和BD都比不上,卡巴的驱动数量和大小都堪比 ...

哈哈 弄一堆乱七八糟ark工具 有空试试看什么结果
www-tekeze
发表于 2019-7-24 00:10:52 | 显示全部楼层

时间晚了,先顶一下。。。明天试试。。。


bbszy
发表于 2019-7-24 00:22:42 | 显示全部楼层
现在最新的win10 x64下用什么ark工具好啊,主要是很多ark自身驱动都加载不了。。。
lifan88
发表于 2019-7-24 00:42:08 | 显示全部楼层
huang1111 发表于 2019-7-23 22:56
如果360在那个时候有能力上报的话肯定老早就报毒了

应用层读取全部被改了啊兄弟,伪装partmgr后你复制,压缩的结果都是正常的partmgr。我不敢用PCH强行删是因为PCH的文件复制被识破了
huang1111
发表于 2019-7-24 00:45:31 | 显示全部楼层
lifan88 发表于 2019-7-24 00:42
应用层读取全部被改了啊兄弟,伪装partmgr后你复制,压缩的结果都是正常的partmgr。我不敢用PCH强行删是 ...

额,你是没懂我说的话么。。
lifan88
发表于 2019-7-24 00:48:39 | 显示全部楼层
huang1111 发表于 2019-7-24 00:45
额,你是没懂我说的话么。。

算了不黑不黑
lifan88
发表于 2019-7-24 01:17:33 | 显示全部楼层
kxmp 发表于 2019-7-23 22:34
我记得partmgr那人说的检测不出来的. 那个东西在他那里蹲了好久他都没感觉.

实际上,这个伪装partmgr是有回调的,你会发现你的回调里多了一堆正常的partmgr的回调,正常系统,我不确定是不是系统环境不同会有略微不同,partmgr的回调只有一个:


@温馨小屋

PS:最早我知道有这种操作的好像是TDL系列和Carberp-Rovnix(都是WIN7-X64时代,比鬼影强非常多,都是2011-2012年左右的东西,在普通人计算机流通算是非常强大的ROOTKIT/BOOTKIT,也是最辉煌的时代,但是WIN8后已死)
(一些特殊用途的BOOTKIT和ROOTKIT除外

1,TDL有些可以看到是kdcom.dll的内核劫持?(太久了,2011年前后的东西)
2,Carberp-ROVNIX(carberp好像没有,ROVNIX是用Carberp泄露源码做的,都有典型的ntoskrnl/ntkrnlpa的劫持,中了ROVNIX是出了名的ntkrnlpa.exe会有两个,很难看出异常,钩子也挂的非常奇怪,但是不暴力)


以前最吓人的Zeroaccess,详见:https://bbs.kafan.cn/thread-1061080-1-1.html,把你收拾得明明白白的。

发现的时候,当时的ARK没有能打得开的,首个能出现在市面上的,高级方法消灭ARK的ROOTKIT

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
头像被屏蔽
发表于 2019-7-24 10:12:11 | 显示全部楼层
lifan88 发表于 2019-7-24 00:42
应用层读取全部被改了啊兄弟,伪装partmgr后你复制,压缩的结果都是正常的partmgr。我不敢用PCH强行删是 ...

我试过强行删除,是无效的,修改操作是不会映射到真的partmgr的,这几个驱动都是没办法强制删除文件的,只能从启动的时候入手
wowocock
发表于 2019-7-24 10:25:36 | 显示全部楼层
除了主页保安,其他都差点。估计类似技术以后会在广大木马中流行开。不过好在360这边已经能完美处理类似的技术了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-21 13:25 , Processed in 0.057053 second(s), 15 queries .

快速回复 返回顶部 返回列表