主页保安

Fire_Wind

www-tekeze 发表于 2020-3-7 15:25
后面还得有AA才是报的易语言。。。这个只是报壳，确实加了VMP 。

原来还要有AA呀，涨知识了

www-tekeze

Fire_Wind 发表于 2020-3-7 17:01
原来还要有AA呀，涨知识了

俺猜的，大佬别当真。。

www-tekeze

www-tekeze 发表于 2020-3-7 16:54
双击，连点两次确定被智量主防杀！退出智量双击，会创建服务项，自动重启后主页果然变成了百度搜索，但服 ...

详细试了下。。。1. 锁定为百度搜索后无法解除，比如用户想自定义其它做主页，呵呵，没门！ 2. 锁首效果杠杠的，用火绒主页保护锁定为其它，但干不赢人家。。    @火绒工程师

没加服务没加驱，效果居然这么好，厉害了！

PS：曾被恶意锁成2345，当时想了很多都没法解决，嗯，如果当初找到这个很想试试，百度搜索总比八爪鱼好吧？

记录微笑

www-tekeze 发表于 2020-3-7 17:43
详细试了下。。。1. 锁定为百度搜索后无法解除，比如用户想自定义其它做主页，呵呵，没门！ 2. 锁首效果 ...

应该是加驱了

趋势就是因为拦截了驱动加载操作才杀他的

www-tekeze

记录微笑 发表于 2020-3-7 17:54
应该是加驱了

趋势就是因为拦截了驱动加载操作才杀他的

你20楼截图没看出来是加驱，火绒只拦截了注册表创建服务项，但重启后没看到，当时也没见释放驱动。

你那能提取到驱动吗？传上来看看。。。对了，艾特这位来康康。。。@lifan88

zay365

www-tekeze 发表于 2020-3-7 16:54
双击，连点两次确定被智量主防杀！退出智量双击，会创建服务项，自动重启后主页果然变成了百度搜索，但服 ...

我建议你不要真把这个当作锁定主页的工具来使用严格地说这个确实不算病毒，6楼的卡巴报的也是RiskTool，我主题分类也选的是其他相关而不是病毒样本
这个老版本的主页保安不是静默安装的，被锁定的主页也是没有推广代码的百度，但正如它的说明里所说的，永久保护浏览器主页为百度，而且没有给出解决方法，所以用了后就别想再改成其他的了
它的驱动用了非常变态、猥琐、恶心的方法来自我保护，具体可以问@wowocock @lifan88 ，这只是1.0版，还没有像后面那样的暴力对抗功能，但已经极难在系统下杀掉了，用pch,gmer,火绒剑等工具手杀不掉，自动工具就360急救箱和Windows清理助手能干掉，其他工具都被安排地明明白白地，尤其是tdsskiller被针对得把自己的驱动给报了，除这两个工具之外的杀软厂商都放弃和它的对抗了，让用户到PE/急救盘下进行查杀
虽然这个表面上没有什么太恶意的行为，但有可能会有潜在的风险，比如和其他的驱动木马发生冲突导致系统炸了，或者被其他恶意程序所利用
这个我在分析文件时发现了一个带有推广码的2345网址，怀疑是不是有云控之类的
智量主防报的没任何问题，这个会修改UAC设置
还是要记住一点，不要乱在实机里用样本区发的东西，搞不好你到什么时候就像上次那个被勒索的人那样了，欲哭无泪
这个样本是在火绒论坛的一个人发的，他就是在主页被篡改时用的，结果用了后改不掉了，不过我也没发现有任务管理器打不开的现象
还找到有个早期版本有7个选项，可以自己选择设置的主页的

zay365

www-tekeze 发表于 2020-3-7 17:43
详细试了下。。。1. 锁定为百度搜索后无法解除，比如用户想自定义其它做主页，呵呵，没门！ 2. 锁首效果 ...

说句实在话，主页保安改的主页没人能改回去

zay365

www-tekeze 发表于 2020-3-7 18:05
你20楼截图没看出来是加驱，火绒只拦截了注册表创建服务项，但重启后没看到，当时也没见释放驱动。

你 ...

能过火绒加驱并不是什么稀罕事，简单挂也能的
http://bbs.huorong.cn/thread-66625-1-1.html
主页保安存在ntoskrnl的线程，和癌细胞一样多，接近1000个内核线程，pch一打开直接放弃治疗

记录微笑

www-tekeze 发表于 2020-3-7 18:05
你20楼截图没看出来是加驱，火绒只拦截了注册表创建服务项，但重启后没看到，当时也没见释放驱动。

你 ...

提取驱动又得开影子

太烦了，我看看沙盒行不行

记录微笑

www-tekeze 发表于 2020-3-7 18:05
你20楼截图没看出来是加驱，火绒只拦截了注册表创建服务项，但重启后没看到，当时也没见释放驱动。

你 ...

沙盒双击