收到个新样本。

www-tekeze

lifan88 发表于 2020-1-10 22:06
naive，一个针对就完蛋了

针对也是急救箱吧。。

lifan88

www-tekeze 发表于 2020-1-10 22:17
针对也是急救箱吧。。

PCH和TDSSKILLER也是重点照顾对象

zay365

lifan88 发表于 2020-1-10 22:31
PCH和TDSSKILLER也是重点照顾对象

这个用GMER查不到，是被针对了吗

lifan88

zay365 发表于 2020-1-10 21:19
显示的位置是假的，是被劫持的驱动，不是本体

测试结果：还是那个tcpip改名劫持，换了签名而已。

第一次加载应该是增加了Nisproxy挂钩，pch连接情况完全看不见了。

重启后把我机子中的另外一个rootkit（fltmgr劫持重定向劫持的tcpip版本）干死了。。

重启后还是老配方，就是inline hook了afd.sys，而且afd设备里的fastio dispatch嵌入了一个病毒fastioDeviceControl，新加了一个未知的内核计时器，但是变形tcpip驱动设备已经看不见了，而且好像以前的iat钩子是看不见了还是舍弃了。。。

第一次加载后新的注册表操作是真的多（不是自检查）。。。

lifan88

zay365 发表于 2020-1-10 22:40
这个用GMER查不到，是被针对了吗

我康康

zay365

lifan88 发表于 2020-1-10 22:44
测试结果：还是那个tcpip改名劫持，换了签名而已。

第一次加载应该是增加了Nisproxy挂钩，pch连接情况 ...

看了下就是那个”简单挂“附带的驱动
官网在百度网盘下载地址被封N天后终于换了新网盘
话说360是不是一直盯着这个，不然怎么今天更新了急救箱后就能查杀这个了

lifan88

zay365 发表于 2020-1-10 22:40
这个用GMER查不到，是被针对了吗

结果还是被tdsskiller日了。。。

破坏rootkit自保的方法，日内核线程。

这个东西tcpip改名劫持新增加了内核线程保护回调，tdsskiller和hrkill不处理掉线程就是白瞎。

我是先pch暂停掉rootkit的内核线程，然后删掉回调，计时器，用某剑删掉afd的inline hook，最后去开ie的时候蓝屏了，重启后rootkit就不挂afd inline hook和计时器了。。但是内核线程保护回调还在，重复上述过程，最后加了一步最重要的，将drivers下tcpip改名后的驱动重命名，普通重启，死了。。。

yjwfdc

查到了。

zay365

lifan88 发表于 2020-1-10 23:15
结果还是被tdsskiller日了。。。

破坏rootkit自保的方法，日内核线程。

确实最关键的就是内核线程，在搞掉线程前有回调删不掉
用pch能很容易地杀掉
我又想起wowocock的那句话了。。。
https://bbs.kafan.cn/forum.php?m ... 08&pid=44517807

lifan88

zay365 发表于 2020-1-10 23:25
确实最关键的就是内核线程，在搞掉线程前有回调删不掉
用pch能很容易地杀掉
我又想起wowocock的那句话 ...

pch删不了文件的。。我见过的rootkit就没几个能硬扛tdsskiller删文件（通过回调转移/改名字除外）。

主页保安在对付tdsskiller都是直接让tdsskiller挂掉，或者直接重启，不给你机会。

除了那个双枪rootkit（volmgr劫持）。。。文件死锁加重锁到tdsskiller都看不见了。。。