白加黑超级远控木马

显示全部楼层 · 发表于 2020-1-29 14:50:04

www-tekeze 发表于 2020-1-29 14:24
第28是加载sysimgbase.dll，中风险，允许。。。如果黑dll无法识别，MD有啥用。。

md的日志不是这样看的，
联网等行为都拦到了，
你说没加启动项，看最一个图，拦到加启动项，并且被《陷阱规则》报毒了。

显示全部楼层 · 发表于 2020-1-29 14:58:24

yjwfdc 发表于 2020-1-29 14:50
md的日志不是这样看的，
联网等行为都拦到了，
你说没加启动项，看最一个图，拦到加启动项，并且被《陷 ...

我这里的环境试过N多次，就没见加自启，BD主防拦了，可能也发生了加自启动作，但我这里没加自启，火绒没弹窗、智量主防也没反应。。。我也重启试过好几次了。。。联网也能称被拦到？系统墙、火绒等等都可以拦。

显示全部楼层 · 发表于 2020-1-29 17:53:01

Black_lonely 发表于 2020-1-26 20:06
卡巴主防和扫描都miss，然后电脑黑屏了

卡巴双击成功拦截，双击后dll文件被删除

显示全部楼层 · 发表于 2020-1-29 17:53:47

Black_lonely 发表于 2020-1-26 20:06
卡巴主防和扫描都miss，然后电脑黑屏了

双击卡巴成功拦截了啊，dll文件被删除

显示全部楼层 · 发表于 2020-1-29 17:59:13

众生悟道发表于 2020-1-29 17:53
双击卡巴成功拦截了啊，dll文件被删除

3天前的毒了，dll早已拉黑

显示全部楼层 · 发表于 2020-1-29 18:03:58

众生悟道发表于 2020-1-29 17:53
卡巴双击成功拦截，双击后dll文件被删除

是行为拦截吗，卡巴早入库了，联网就会直接云杀，贴个图

显示全部楼层 · 发表于 2020-1-29 18:20:46

众生悟道发表于 2020-1-29 17:53
双击卡巴成功拦截了啊，dll文件被删除

都三天了是不是来晚了。。。看下66楼，老司机是如何被玩成手动档的。。

显示全部楼层 · 发表于 2020-1-29 18:44:18

www-tekeze 发表于 2020-1-28 14:13
听你这么一说，我吓得把网线拔了。。

我错了，试了一下那个某rootkit，强力模式干3次就死了（第二次手动启动强力模式蓝了）

显示全部楼层 · 发表于 2020-1-29 18:49:19

本帖最后由 lifan88 于 2020-1-29 18:51 编辑

yjwfdc 发表于 2020-1-29 13:34
没人用md试试吗？@左手

过md需要未知api和0day，只要是这两种都能秒杀MD(起手没有创建文件动作，只需要读文件和加载系统的dll就可以过掉)
对于这种白加黑，由于MD对r3的锁定比火绒4.0自定义规则强锁要强得多，有时候也不好分辨出来，对MD没有威力

显示全部楼层 · 发表于 2020-1-29 18:58:25

温馨小屋发表于 2020-1-29 11:36
唯一可能的传播途径就是利用虚拟机的NAT网络攻击实机，实机开了防火墙一般就没事了，虚拟机很难穿透的

还是挺怕被人顺着网线打的

[病毒样本] 白加黑超级远控木马