【ROOTKIT-Pchunterkiller】专治各种ARK！

lifan88

没有入库的自重。。。

详见：https://www.52pojie.cn/thread-1044903-1-1.html

为什么是pchunterkiller，大家它自己加载驱动试试PS：64位驱动

ps:回调无法拔除，虚拟机下存在APCI劫持然后应该是驱动占坑？？？。。。火绒剑里面看到一坨加载失败的驱动模块卡在System里面。。。
360superkiller/tdsskiller应该可以解决！（TDSSKILLER可以处理）

请勿实机测试，你可以试试染毒后你的杀软和ARK能抗住不


样本：https://www.lanzous.com/i7cjx5g


1，测试条件：Vmware-win8.1x64-pro
2，测试方法：直接运行即可
3，关键词解释
SYS_regsrv：注册服务
SYS_load_kmod：加载内核模块
SYS_enumproc：枚举进程
SYS_opendev：打开设备

REG_openkey：打开注册表项
REG_getval：获取注册表键值
REG_mkkey：创建注册表项
REG_setval：设置注册表项值
REG_rmval：删除注册表键值
REG_rmkey：删除注册表键

FILE_open：打开文件
FILE_touch：创建文件
FILE_truncate：截断文件
FILE_write：写文件
FILE_chmod：设置文件属性
FILE_modified：文件被修改
FILE_remove：删除文件
BA_exec_extratedfile：启动自释放文件

PROC_exec：创建进程
PROC_open：打开进程
PROC_readvm：跨进程读内存
PROC_writevm：跨进程写内存
PROC_pgprot：跨进程修改内存属性
THRD_setctxt：跨进程设置线程上下文
THRD_resume：跨进程恢复线程
EXEC_create：进程启动
EXEC_destroy：进程退出


NET_connect：网络连接
NET_send：发送数据包
NET_http：HTTP请求

4，火绒剑监控（只展示重点）
00:13:07:854,        b.exe,        3228:0,        3228,        EXEC_create,        C:\Users\j8qq_000\Desktop\b.exe,        parent_pid:2944 cmdline:'"C:\Users\j8qq_000\Desktop\b.exe" ' image_base:0x00000000009B0000 image_size:0x000CE000 ,        0x00000000 [操作成功完成。  ],        

00:13:08:089,        b.exe,        3228:2592,        3228,        FILE_open,        C:\Windows\Temp\MpCz01.tmp,        access:0x00010080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200040 ,        0x00000000 [操作成功完成。  ],        

00:13:18:807,        b.exe,        3228:2592,        3228,        FILE_remove,        C:\Windows\Temp\MpCz01.tmp,        ,        0x00000000 [操作成功完成。  ],        
00:13:26:135,        b.exe,        3228:2592,        3228,        SYS_regsrv,        C:\Windows\system32\drivers\F94E3172.sys,        access:0x000F01FF type:0x00000002 start_type:0x00000002 srvname:'F94E3172' ,        0x00000000 [操作成功完成。  ],        

00:13:34:308,        b.exe,        3228:2592,        3228,        FILE_touch,        C:\Windows\System32\drivers\F94E3172.sys,        access:0x00120196 alloc_size:0 attrib:0x00000080 share_access:0x00000001 disposition:0x00000005 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        
00:13:34:308,        b.exe,        3228:2592,        3228,        FILE_truncate,        C:\Windows\System32\drivers\F94E3172.sys,        eof:0x00000000 ,        0x00000000 [操作成功完成。  ],        

00:13:38:636,        b.exe,        3228:2592,        3228,        FILE_write,        C:\Windows\System32\drivers\F94E3172.sys,        offset:0x00000000 datalen:0x00073D30 ,        0x00000000 [操作成功完成。  ],        

00:13:38:636,        b.exe,        3228:2592,        3228,        FILE_modified,        C:\Windows\System32\drivers\F94E3172.sys,        ,        0x00000000 [操作成功完成。  ],        

00:13:38:636,        services.exe,        580:3672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

00:13:48:323,        services.exe,        580:3672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

00:13:48:343,        services.exe,        580:3672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

00:13:48:343,        services.exe,        580:3672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FltMgr,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

00:13:48:343,        services.exe,        580:3672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

00:13:48:343,        System,        4:2768,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],        

00:13:48:343,        System,        4:2768,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

00:13:48:343,        System,        4:2768,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172\ImagePath,        type:0x00000002 datalen:90 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 57 00 ' ,        0x00000000 [操作成功完成。  ],        

00:13:48:343,        System,        4:2768,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172\Type,        type:0x00000004 datalen:4 data:'02 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

00:13:48:343,        System,        4:2768,        0,        FILE_open,        C:\Windows\System32\drivers\F94E3172.sys,        access:0x00000020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],
        
00:13:48:449,        System,        4:2768,        0,        REG_openkey        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\F94E3172.sys,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],        

00:13:48:464,        System,        4:2768,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172\ImagePath,        type:0x00000002 datalen:90 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 57 00 ' ,        0x00000000 [操作成功完成。  ],        

00:13:48:464,        System,        4:2768,        0,        FILE_touch,        C:\Windows\Temp\MpCz01.tmp,        access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000000 disposition:0x00000005 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        

00:13:48:464,        System,        4:2768,        0,        FILE_truncate,        C:\Windows\Temp\MpCz01.tmp,        eof:0x00000000 ,        0x00000000 [操作成功完成。  ],        

00:13:48:480,        System,        4:2768,        0,        FILE_open,        C:\Windows\System32\ntoskrnl.exe,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000001 disposition:0x00000001 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        

00:13:48:604,        System,        4:2768,        0,        FILE_open,        C:\Windows\System32\ntdll.dll,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000001 disposition:0x00000001 options:0x00000020 ,        0x00000000 [操作成功完成。  ],
        
00:13:48:667,        System,        4:2768,        0,        FILE_open,        C:\Windows\System32\drivers\F94E3172.sys,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000001 disposition:0x00000001 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        

00:13:48:698,        System,        4:2768,        0,        FILE_open,        C:\Windows\Temp\txsvas01.tmp,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000003 disposition:0x00000001 options:0x00000040 ,        0x00000000 [操作成功完成。  ],        

00:13:48:698,        System,        4:2768,        0,        FILE_open,        C:\Windows\Temp\txsvas01.tmp,        access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000000 disposition:0x00000005 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        

00:13:48:698,        System,        4:2768,        0,        FILE_truncate,        C:\Windows\Temp\txsvas01.tmp,        eof:0x00000000 ,        0x00000000 [操作成功完成。  ],        

00:13:48:698,        System,        4:2768,        0,        FILE_write,        C:\Windows\Temp\txsvas01.tmp,        offset:0x00000000 datalen:0x00000078 ,        0x00000000 [操作成功完成。  ],        

00:13:48:722,        services.exe,        580:3672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\F94E3172,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

00:13:48:722,        b.exe,        3228:2592,        3228,        SYS_load_kmod,        C:\Windows\system32\drivers\F94E3172.sys,        ,        0x00000000 [操作成功完成。  ],        


加载后。。。。
00:13:54:241,        b.exe,        3228:2592,        3228,        SYS_opendev,        \Device\Netbios,        devtype:33 access:0xC0000000 share:0x00000007 ,        0x00000000 [操作成功完成。  ],        

00:13:54:417,        b.exe,        3228:2592,        3228,        SYS_opendev,        \Device\HarddiskVolume2,        devtype:7 access:0x00100080 share:0x00000007 ,        0x00000000 [操作成功完成。  ],        

00:13:54:698,        b.exe,        3228:1300,        3228,        SYS_opendev,        \Device\Afd,        devtype:17 access:0xC0140000 share:0x00000003 ,        0x00000000 [操作成功完成。  ],        

00:13:54:722,        b.exe,        3228:1300,        3228,        SYS_opendev,        \Device\Nsi,        devtype:18 access:0x00100080 share:0x00000003 ,        0x00000000 [操作成功完成。  ],        

00:13:55:026,        svchost.exe,        432:1184,        0,        NET_connect,        114.114.114.114:53,        protocol:(UDP)1 ,        0x00000000 [操作成功完成。  ],        

00:13:55:042,        svchost.exe,        432:1456,        0,        NET_connect,        224.0.0.252:5355,        protocol:(UDP)1 ,        0x00000000 [操作成功完成。  ],        
00:13:55:073,        b.exe,        3228:2460,        3228,        SYS_opendev,        \Device\Afd,        devtype:17 access:0xC0140000 share:0x00000003 ,        0x00000000 [操作成功完成。  ],        

00:13:56:683,        System,        4:2768,        0,        FILE_write,        C:\Windows\Temp\txsvas01.tmp,        offset:0x00000000 datalen:0x00001000 ,        0x00000000 [操作成功完成。  ],        

00:13:57:292,        b.exe,        3228:2460,        3228,        NET_http,        www.tj789.top/tongji.php?os=6.3. ... i=0&wb=&az=320&uid=,        protocol:(TCP)0 cmd:'GET' datalen:295 ,        0x00000000 [操作成功完成。  ],        

00:13:57:574,        b.exe,        3228:2460,        3228,        FILE_touch,        C:\Users\j8qq_000\AppData\Local\Microsoft\Windows\INetCache\IE\8LXDD2C6\tongji[1].htm,        access:0x00120196 alloc_size:0 attrib:0x00002000 share_access:0x00000007 disposition:0x00000002 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        

00:13:58:792,        System,        4:1616,        0,        FILE_open,        C:\Windows\Temp\txsvas01.tmp,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000003 disposition:0x00000001 options:0x00000040 ,        0x00000000 [操作成功完成。  ],        

00:13:58:792,        System,        4:1616,        0,        FILE_truncate,        C:\Windows\Temp\txsvas01.tmp,        eof:0x00000000 ,        0x00000000 [操作成功完成。  ],        

00:13:58:792,        System,        4:1616,        0,        FILE_write,        C:\Windows\Temp\txsvas01.tmp,        offset:0x00000000 datalen:0x00000078 ,        0x00000000 [操作成功完成。  ],        

00:13:58:792,        System,        4:1616,        0,        FILE_modified,        C:\Windows\Temp\txsvas01.tmp,        ,        0x00000000 [操作成功完成。  ],        

00:18:25:996,        System,        4:1616,        0,        FILE_modified,        C:\Windows\Temp\txsvas01.tmp,        ,        0x00000000 [操作成功完成。  ],        

wowocock

很LOW的一个木马，用MINIFILTER根据路径名字来禁止访问，你把PCHUNTER放到WINDOWS目录下就能用了。

skilly

  这个就是广谱特征吗？米奇是什么名字。。

    好像蛋挞关了监控也没啥用啊，是因为有云吗？就出现了个联网提示，点击允许就没了。这个动作是不是太大了。

   


AVA 25.23083
GD 26.15796

*** 进程 ***

进程: 4740
文件名: b.exe
路径: C:\Users\Administrator\Desktop\b.exe

发行商：: 未知发行商
创建日期: 2019年11月4日 0:03:42
修改日期: 2019年11月4日 0:03:42

启动进程：: explorer.exe
发行商：: Microsoft Windows


*** 操作 ***

病毒扫描程序已检测出此文件是恶意程序。
已加壳的程序文件，可能隐藏有恶意代码。
程序正经过网络建立连接。
一个未知进程访问了。
程序已将文件保存在系统文件夹。
程序在Windows文件夹已创建或已操作一个可执行文件。


*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2UDIR88M\tongji[1].htm
C:\Users\Administrator\AppData\Local\Temp\~1z23.tmp
C:\Users\Administrator\Desktop\b.exe

下列注册表项被删除：

\registry\user\s-1-5-21-1173843205-2768935696-3335642588-500\software\microsoft\windows\currentversion\internet settings\connections || savedlegacysettings

"C:\Users\Administrator\Desktop\b.exe"
MD5: 5D1E890E5EE1200E7CDFDFFAD6C5350A
C:\Windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24

curfew

52pojie这个文章看是从毒霸那里转的？某霸确实是贼喊捉贼第一人

zay365

curfew 发表于 2019-11-14 03:05
52pojie这个文章看是从毒霸那里转的？某霸确实是贼喊捉贼第一人

下载器推广的最多的杀软就是金山毒霸

小难民

WD已入库

hui8du

上面有用GD的我就不再重复了

lifan88

skilly 发表于 2019-11-14 02:54
这个就是广谱特征吗？米奇是什么名字。。

    好像蛋挞关了监控也没啥用啊，是因为有云吗？就出现 ...

1，你是32还是64位系统？
2，有可能那个驱动不能在win7中加载
3，默认拦截加载驱动，或者uac导致，试试管理员运行！
4，你已经中毒，用pch看看吧……

测试注意条件，还有，rootkit行为比普通行为要隐蔽，因为无法拦截加载驱动后的动作....

lifan88

hui8du 发表于 2019-11-14 09:01
上面有用GD的我就不再重复了

试试加载驱动玩玩，看看爽不爽...
当然真实条件下你要是允许了那是你的问题……

hui8du

lifan88 发表于 2019-11-14 09:06
试试加载驱动玩玩，看看爽不爽...
当然真实条件下你要是允许了那是你的问题……

无法测，真实的机子。

lifan88

hui8du 发表于 2019-11-14 09:10
无法测，真实的机子。

强烈不推荐实机c测试，一个半免杀的0day可能坑死你...小心文件一坨坨加密什么鬼的...