搜索
楼主: faily_1976
收起左侧

[病毒样本] 收到个新样本。

[复制链接]
zay365
发表于 2020-1-10 23:37:48 | 显示全部楼层
lifan88 发表于 2020-1-10 23:31
pch删不了文件的。。我见过的rootkit就没几个能硬扛tdsskiller删文件(通过回调转移/改名字除外)。

...

这个不需要动文件,把注册表干掉就行了
说到主页保安,查到几个最近的类似的案例,就是用360急救箱查杀的时候中途自动强制关机,不过没找到样本
lifan88
发表于 2020-1-10 23:41:46 | 显示全部楼层
zay365 发表于 2020-1-10 23:37
这个不需要动文件,把注册表干掉就行了
说到主页保安,查到几个最近的类似的案例,就是用360急救箱查杀 ...

问了没回复。。gg
lifan88
发表于 2020-1-10 23:46:46 | 显示全部楼层
zay365 发表于 2020-1-10 23:37
这个不需要动文件,把注册表干掉就行了
说到主页保安,查到几个最近的类似的案例,就是用360急救箱查杀 ...

volmgr劫持那个注册表。。。怕不是几乎无敌。。。

这东西检查任何进内核的内存好像,然后会对你的pdb进行匹配,一发现你是pch/gmer就给你下钩子,导致内核线程直接看不见了。。。

有可能注册表也看不见了。。
zay365
发表于 2020-1-11 00:03:54 | 显示全部楼层
lifan88 发表于 2020-1-10 23:41
问了没回复。。gg

话说windows清理助手为什么很久不更新也能杀掉这种木马
难道就是因为名气小,没有人针对它
a8855942
发表于 2020-1-11 11:06:59 | 显示全部楼层
本帖最后由 a8855942 于 2020-1-11 11:09 编辑

昨天的样本,早点看就好了。刚发出30分钟内。红伞不知道怎么样。这个是启发杀。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lifan88
发表于 2020-1-11 20:15:35 | 显示全部楼层
zay365 发表于 2020-1-11 00:03
话说windows清理助手为什么很久不更新也能杀掉这种木马
难道就是因为名气小,没有人针对它

这个助手如果不是r0
其实可以无视...
嗜血大叔
发表于 2020-1-12 07:27:07 | 显示全部楼层
WD MISS
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2020-1-23 04:15 , Processed in 0.093277 second(s), 14 queries .

快速回复 返回顶部 返回列表