搜索
楼主: ELOHIM
收起左侧

[系统] 发现这种问题以后,下一步怎么办?

[复制链接]
ELOHIM
 楼主| 发表于 2019-10-27 20:02:44 | 显示全部楼层
落华无痕 发表于 2019-10-27 20:01
你理解错了,我说的是没有公司名,不是没有数字签名。

就是这样操作的。显示出“公司”这一列,然后排序,这个附件是空的。
落华无痕
发表于 2019-10-27 20:14:38 | 显示全部楼层
ELOHIM 发表于 2019-10-27 20:02
就是这样操作的。显示出“公司”这一列,然后排序,这个附件是空的。

一楼那个驱动呢?找到没有?问题还有没重现?
ELOHIM
 楼主| 发表于 2019-10-27 20:20:46 | 显示全部楼层
落华无痕 发表于 2019-10-27 20:14
一楼那个驱动呢?找到没有?问题还有没重现?

一楼那个驱动在Drivers里面。
vt上面没有提示恶意的。。

现在还没有发现有未知服务安装。
落华无痕
发表于 2019-10-27 20:54:19 | 显示全部楼层
ELOHIM 发表于 2019-10-27 20:20
一楼那个驱动在Drivers里面。
vt上面没有提示恶意的。。

qvvparlp.sys这个没样本?
我平时找驱动木马时,先找这种没公司的。然后看根目录、windows、system32和syswow64目录的sys驱动。

1.jpg 2.jpg 3.jpg

其他的再手动加载本地磁盘的注册表配置单元,检查services项,或者用一些PE自带的工具scanvirus检查。
123.jpg

检查比较费时间,可以同时开杀软的扫描器扫描。
ELOHIM
 楼主| 发表于 2019-10-27 21:52:51 | 显示全部楼层
落华无痕 发表于 2019-10-27 20:54
qvvparlp.sys这个没样本?
我平时找驱动木马时,先找这种没公司的。然后看根目录、windows、system32和s ...

没有样本哦,我发现的时候已经是黄色,不存在状态了。。。。。。。。
落华无痕
发表于 2019-10-27 22:09:22 | 显示全部楼层
ELOHIM 发表于 2019-10-27 21:52
没有样本哦,我发现的时候已经是黄色,不存在状态了。。。。。。。。

可能是一些软件的临时驱动,启动后就删除文件和注册表项的那种。
ELOHIM
 楼主| 发表于 2019-10-27 22:15:13 | 显示全部楼层
本帖最后由 ELOHIM 于 2019-10-27 22:22 编辑
落华无痕 发表于 2019-10-27 22:09
可能是一些软件的临时驱动,启动后就删除文件和注册表项的那种。

刚刚检测又发现一个这个:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eizboang]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,69,00,6e,00,\
  64,00,6f,00,77,00,73,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
  00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,69,00,7a,00,\
  62,00,6f,00,61,00,6e,00,67,00,2e,00,73,00,79,00,73,00,00,00
"Group"="Boot Bus Extender"
"Args"="C:\\Windows\\system32\\drivers\\eizboang.sys:changelist"


服务已安装在系统中。
服务名称: DBUtil_2_3
服务文件名: C:\Users\Human\AppData\Local\Temp\DBUtil_2_3.Sys
服务类型: 内核模式驱动程序
服务启动类型: 按需启动






落华无痕
发表于 2019-10-27 22:25:54 | 显示全部楼层
ELOHIM 发表于 2019-10-27 22:15
刚刚检测又发现一个这个:

Windows Registry Editor Version 5.00

像是病毒。你用啥检查出来?没对应文件?

按照这个格式,在PE里找找类似描述的。目前来看驱动名长度为8像随机,group为Boot Bus Extender,启动类型为系统。
ELOHIM
 楼主| 发表于 2019-10-27 22:29:47 | 显示全部楼层
落华无痕 发表于 2019-10-27 22:25
像是病毒。你用啥检查出来?没对应文件?

按照这个格式,在PE里找找类似描述的。目前来看驱动名长度为 ...

autoruns 自带事件管理器  注册表。

不有PE怎么办?

组,group 这个在哪看??
落华无痕
发表于 2019-10-27 22:34:56 | 显示全部楼层
ELOHIM 发表于 2019-10-27 22:29
autoruns 自带事件管理器  注册表。

不有PE怎么办?

呃,原来你上面的操作都是在正常系统里搞的啊。

rootkit程序会隐藏自己的文件的,正常系统下驱动木马运行了,可能看不到文件的。

建议PE里操作。如360论坛的PE:
https://yunpan.360.cn/surl_y3faQGbDPzd
你可以用里面的急救箱扫,或者开始菜单的scanvirus,按类型排列,找到上面描述的驱动文件,或者我上面说的公司名的方法。

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-14 03:33 , Processed in 0.075534 second(s), 18 queries .

快速回复 返回顶部 返回列表