手杀伪装partmgr的rootkit

温馨小屋

kxmp 发表于 2019-7-23 22:57
那估计是360没有底层读取扫描吧....

我前几天看了看，卡巴有4个专门的Anti-Rootkit驱动，这阵容360和BD都比不上，卡巴的驱动数量和大小都堪比微点了。。。

kxmp

温馨小屋 发表于 2019-7-23 22:58
我前几天看了看，卡巴有4个专门的Anti-Rootkit驱动，这阵容360和BD都比不上，卡巴的驱动数量和大小都堪比 ...

哈哈 弄一堆乱七八糟ark工具 有空试试看什么结果

www-tekeze

时间晚了，先顶一下。。。明天试试。。。

bbszy

现在最新的win10 x64下用什么ark工具好啊，主要是很多ark自身驱动都加载不了。。。

lifan88

huang1111 发表于 2019-7-23 22:56
如果360在那个时候有能力上报的话肯定老早就报毒了

应用层读取全部被改了啊兄弟，伪装partmgr后你复制，压缩的结果都是正常的partmgr。我不敢用PCH强行删是因为PCH的文件复制被识破了

huang1111

lifan88 发表于 2019-7-24 00:42
应用层读取全部被改了啊兄弟，伪装partmgr后你复制，压缩的结果都是正常的partmgr。我不敢用PCH强行删是 ...

额，你是没懂我说的话么。。

lifan88

huang1111 发表于 2019-7-24 00:45
额，你是没懂我说的话么。。

算了不黑不黑

lifan88

kxmp 发表于 2019-7-23 22:34
我记得partmgr那人说的检测不出来的. 那个东西在他那里蹲了好久他都没感觉.

实际上，这个伪装partmgr是有回调的，你会发现你的回调里多了一堆正常的partmgr的回调，正常系统，我不确定是不是系统环境不同会有略微不同，partmgr的回调只有一个：


@温馨小屋

PS：最早我知道有这种操作的好像是TDL系列和Carberp-Rovnix（都是WIN7-X64时代，比鬼影强非常多，都是2011-2012年左右的东西，在普通人计算机流通算是非常强大的ROOTKIT/BOOTKIT，也是最辉煌的时代，但是WIN8后已死）
（一些特殊用途的BOOTKIT和ROOTKIT除外）

1，TDL有些可以看到是kdcom.dll的内核劫持？（太久了，2011年前后的东西）
2，Carberp-ROVNIX（carberp好像没有，ROVNIX是用Carberp泄露源码做的，都有典型的ntoskrnl/ntkrnlpa的劫持，中了ROVNIX是出了名的ntkrnlpa.exe会有两个，很难看出异常，钩子也挂的非常奇怪，但是不暴力）


以前最吓人的Zeroaccess，详见：https://bbs.kafan.cn/thread-1061080-1-1.html，把你收拾得明明白白的。

发现的时候，当时的ARK没有能打得开的，首个能出现在市面上的，高级方法消灭ARK的ROOTKIT

温馨小屋

lifan88 发表于 2019-7-24 00:42
应用层读取全部被改了啊兄弟，伪装partmgr后你复制，压缩的结果都是正常的partmgr。我不敢用PCH强行删是 ...

我试过强行删除，是无效的，修改操作是不会映射到真的partmgr的，这几个驱动都是没办法强制删除文件的，只能从启动的时候入手

wowocock

除了主页保安，其他都差点。估计类似技术以后会在广大木马中流行开。不过好在360这边已经能完美处理类似的技术了。