查看: 2025|回复: 15
收起左侧

[可疑文件] 这是正常软件的驱动,还是病毒?(内存dmp)

[复制链接]
落华无痕
发表于 2019-9-7 13:04:46 | 显示全部楼层 |阅读模式
本帖最后由 落华无痕 于 2019-11-3 17:12 编辑

样本:https://www.lanzous.com/i62bfhg
跟帖子 驱动木马一枚,求母体 说的有点像,也是每次重启都有两个相同的系统驱动。

用pchunter拷贝了两个相同名字驱动的内存,拷贝了两次。

求分析下是正常软件驱动,还是病毒。

win10 x64 1803,装的360安全卫士。

PS:已确定跟360系统急救箱有关。
fever腾腾
发表于 2019-9-7 13:09:05 | 显示全部楼层
瑞星 不报(狮子现在基本啥都不报,没啥参考价值)
wangyuhe
发表于 2019-9-7 13:13:17 | 显示全部楼层
gdata 扫描miss
761773275
发表于 2019-9-7 14:16:55 | 显示全部楼层
大蜘蛛不杀
evans168
发表于 2019-9-7 14:56:10 | 显示全部楼层
WD & SecureAPlus Miss all
约会大作战
头像被屏蔽
发表于 2019-9-7 15:01:55 | 显示全部楼层
数字报


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a233
发表于 2019-9-7 15:03:00 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Willy19928
发表于 2019-9-7 15:08:36 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
落华无痕 + 1 感谢支持,欢迎常来: )

查看全部评分

老衲洗头用飘柔
发表于 2019-9-7 15:25:19 | 显示全部楼层
卡巴不报,不上图了
lifan88
发表于 2019-9-7 16:31:34 | 显示全部楼层
Alureon???推荐楼主要使用TDSSKILLER,GMER和急救箱看看。。。杀毒软件和普通辅助工具是没有用的,要上ARK的

Alureon是TDL4的报法,估计源码公开了,难道是魔改了其中的东西可以用于WIN10了??(前不久gapz的源码也公开了一些。。。)

还有:Alureon(TDL4系列)是WIN7时代的东西,不排除是误报,推荐检查:
1,PCH-内核-对象劫持,看看是否有劫持项,劫持项名称是否和重复驱动对应。
2,PCH-内核钩子-全部项,查看是否有非360安全卫士和其他安全软件的挂钩,该挂钩的模块应该和重复驱动一致。
3,PCH-进程-System(PID=4)-线程,是否存在特别多那个驱动的线程(有些驱动是不会在System中存在长久线程的,甚至是不会在System中出现,如果有,很可能是伪造的线程。但是有一点,如果伪造了一个在System中一直都有的线程,可以通过系统对比来确定正常线程个数)
4,确定了上面之后,查看PCH-内核-系统回调/过滤驱动/文件系统,看看是否有非360卫士和其他安全软件的挂钩
5,确定有ROOTKIT之后,看看TDSSKILLER和急救箱能不能发现!


还有,PCH对于这种拷贝不一定有效果的,这种如果真是rootkit,很可能是类似rovnix那种内核欺骗,然而rovnix都是2015年最后的东西了。像锁主页系列都是2018-2019的,内存欺骗dump内存出来的驱动感觉都有问题。。。

评分

参与人数 2人气 +2 收起 理由
Picca + 1 感谢解答: )
落华无痕 + 1 很给力!

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 16:55 , Processed in 0.150784 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表