手杀伪装partmgr的rootkit

显示全部楼层 · 发表于 2019-7-24 10:38:48

lifan88 发表于 2019-7-24 01:17
实际上，这个伪装partmgr是有回调的，你会发现你的回调里多了一堆正常的partmgr的回调，正常系统，我不确 ...

我又看了一下partmgr那个，确实有很多回调和过滤驱动，正常的partmgr只有一个回调，我找了半天没找到启动项，然后把回调和过滤驱动都摘了，结果重启病毒就没有加载，可能是病毒通过回调在关机的时候写入启动项重启加载的。。。

显示全部楼层 · 发表于 2019-7-24 11:15:12

嘿嘿，r3扫描工具我没有用过

显示全部楼层 · 发表于 2019-7-24 11:34:45

温馨小屋发表于 2019-7-24 10:38
我又看了一下partmgr那个，确实有很多回调和过滤驱动，正常的partmgr只有一个回调，我找了半天没找到启动 ...

就是的 partmgr我一个暴力重启他就挂掉了

显示全部楼层 · 发表于 2019-7-24 11:56:57

温馨小屋发表于 2019-7-24 10:38
我又看了一下partmgr那个，确实有很多回调和过滤驱动，正常的partmgr只有一个回调，我找了半天没找到启动 ...

我试了下只把他重启那个回调删了然后发现注册表保护没油了

显示全部楼层 · 发表于 2019-7-24 12:22:18

kxmp 发表于 2019-7-24 11:56
我试了下只把他重启那个回调删了然后发现注册表保护没油了

你们这样手杀，不累吗？直接进PE，想怎么删就这么删！

显示全部楼层 · 发表于 2019-7-24 14:38:36

kxmp 发表于 2019-7-24 11:34
就是的 partmgr我一个暴力重启他就挂掉了

我觉得病毒这么搞不太合理啊，这不一断电就凉了吗，还不如干脆做成无文件威胁呢

显示全部楼层 · 发表于 2019-7-24 14:48:03

温馨小屋发表于 2019-7-24 14:38
我觉得病毒这么搞不太合理啊，这不一断电就凉了吗，还不如干脆做成无文件威胁呢

要删启动项才可以要不然肯定死不了.

显示全部楼层 · 发表于 2019-7-24 14:52:03

kxmp 发表于 2019-7-24 14:48
要删启动项才可以要不然肯定死不了.

partmgr那个我根本没看到启动项，把回调摘了直接重启病毒就挂了

显示全部楼层 · 发表于 2019-7-24 15:06:27

温馨小屋发表于 2019-7-24 14:52
partmgr那个我根本没看到启动项，把回调摘了直接重启病毒就挂了

你可能注册表没写进去.

显示全部楼层 · 发表于 2019-7-24 18:14:17

提示: 该帖被管理员或版主屏蔽

[其他相关] 手杀伪装partmgr的rootkit