发现这种问题以后，下一步怎么办？

显示全部楼层 · 发表于 2019-10-27 20:02:44

落华无痕发表于 2019-10-27 20:01
你理解错了，我说的是没有公司名，不是没有数字签名。

就是这样操作的。显示出“公司”这一列，然后排序，这个附件是空的。

显示全部楼层 · 发表于 2019-10-27 20:14:38

ELOHIM 发表于 2019-10-27 20:02
就是这样操作的。显示出“公司”这一列，然后排序，这个附件是空的。

一楼那个驱动呢？找到没有？问题还有没重现？

显示全部楼层 · 发表于 2019-10-27 20:20:46

落华无痕发表于 2019-10-27 20:14
一楼那个驱动呢？找到没有？问题还有没重现？

一楼那个驱动在Drivers里面。
vt上面没有提示恶意的。。

现在还没有发现有未知服务安装。

显示全部楼层 · 发表于 2019-10-27 20:54:19

ELOHIM 发表于 2019-10-27 20:20
一楼那个驱动在Drivers里面。
vt上面没有提示恶意的。。

qvvparlp.sys这个没样本？
我平时找驱动木马时，先找这种没公司的。然后看根目录、windows、system32和syswow64目录的sys驱动。

其他的再手动加载本地磁盘的注册表配置单元，检查services项，或者用一些PE自带的工具scanvirus检查。

检查比较费时间，可以同时开杀软的扫描器扫描。

显示全部楼层 · 发表于 2019-10-27 21:52:51

落华无痕发表于 2019-10-27 20:54
qvvparlp.sys这个没样本？
我平时找驱动木马时，先找这种没公司的。然后看根目录、windows、system32和s ...

没有样本哦，我发现的时候已经是黄色，不存在状态了。。。。。。。。

显示全部楼层 · 发表于 2019-10-27 22:09:22

ELOHIM 发表于 2019-10-27 21:52
没有样本哦，我发现的时候已经是黄色，不存在状态了。。。。。。。。

可能是一些软件的临时驱动，启动后就删除文件和注册表项的那种。

显示全部楼层 · 发表于 2019-10-27 22:15:13

本帖最后由 ELOHIM 于 2019-10-27 22:22 编辑

落华无痕发表于 2019-10-27 22:09
可能是一些软件的临时驱动，启动后就删除文件和注册表项的那种。

刚刚检测又发现一个这个：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eizboang]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,69,00,6e,00,\
  64,00,6f,00,77,00,73,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
  00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,69,00,7a,00,\
  62,00,6f,00,61,00,6e,00,67,00,2e,00,73,00,79,00,73,00,00,00
"Group"="Boot Bus Extender"
"Args"="C:\\Windows\\system32\\drivers\\eizboang.sys:changelist"

服务已安装在系统中。
服务名称: DBUtil_2_3
服务文件名: C:\Users\Human\AppData\Local\Temp\DBUtil_2_3.Sys
服务类型: 内核模式驱动程序
服务启动类型: 按需启动

显示全部楼层 · 发表于 2019-10-27 22:25:54

ELOHIM 发表于 2019-10-27 22:15
刚刚检测又发现一个这个：

Windows Registry Editor Version 5.00

像是病毒。你用啥检查出来？没对应文件？

按照这个格式，在PE里找找类似描述的。目前来看驱动名长度为8像随机，group为Boot Bus Extender,启动类型为系统。

显示全部楼层 · 发表于 2019-10-27 22:29:47

落华无痕发表于 2019-10-27 22:25
像是病毒。你用啥检查出来？没对应文件？

按照这个格式，在PE里找找类似描述的。目前来看驱动名长度为 ...

autoruns 自带事件管理器注册表。

不有PE怎么办？

组，group 这个在哪看？？

显示全部楼层 · 发表于 2019-10-27 22:34:56

ELOHIM 发表于 2019-10-27 22:29
autoruns 自带事件管理器注册表。

不有PE怎么办？

呃，原来你上面的操作都是在正常系统里搞的啊。

rootkit程序会隐藏自己的文件的，正常系统下驱动木马运行了，可能看不到文件的。

建议PE里操作。如360论坛的PE：
https://yunpan.360.cn/surl_y3faQGbDPzd
你可以用里面的急救箱扫，或者开始菜单的scanvirus，按类型排列，找到上面描述的驱动文件，或者我上面说的公司名的方法。

[系统] 发现这种问题以后，下一步怎么办？

本帖子中包含更多资源

评分