【2012/坟墓里的Bootkit/Win7x64】为什么一个普通的bootkit.XPAJ都藏地和宝贝一样？?

lifan88

看了一下8年前的kernelmode，卡巴，BD都不给个MD5/sha256，到处都是被暴打的TDLbase（TDLX-trup-MAXSS等等），ZA和Carberp系列(Rovnix/Simda)还有混几个gapz？？？

然而利用patchguard保护自己hook的bootkit版本xpaj就保密地和宝贝一样，也那么少？

而且几乎没有人讨论过？讨论的都是xpaj无脑感染PE文件，bootkit部分直接没了？我记得看雪以前有讨论过，但是估计因为Patchguard相关问题没了？

更搞笑的是，还有老外发了加密的样本包，说要的私聊拿密码，真他喵的宝贝嗷

https://securelist.com/xpaj-reversing-a-windows-x64-bootkit/36563/



PS：KernelMode社区要关了呀。。。MBR时代估计是时候了，在这里贴一下EP_X0FF记录的老时代公开BOOTKIT/ROOTKIT/有名样本的名单：
Andromeda
Bamital
Betabot
BlackEnergy
BlackShades NET
Carberp
Citadel (Zeus clone, based on 2.x leak)
Conficker
Cridex
CirhashBot
DarkComet
DiamondFox
Fareit
Grum (Spambot.Tedroo)
Godzilla Loader
Gootkit (old variant)
Gootkit (fileless and 2015-2016 variants)
H1N1
Kelihos
Kronos
Kuluoz
MaxSS TDL4+
MyLoader (Oficla)
NgrBot (Dorkbot)
Neutrino (Win32/Kasidet)
Nuclear
Nivdort
Poisonivy
Phorpiex
PhotoMiner
Poweliks
PowerLoader
Quant Loader
Ramnit
Rustock
Simda
Sinowal
Shifu
SmokeLoader
SpyEye
TDL2
TDL3
TDL4
Ursnif
Viknok
WSO PHP web shell
ZeroAccess (KM variant)
ZeroAccess (UM variant)
Zeus
Zeus Gameover
ZeusVM (Zeus clone)
没入库的话我怀疑你电脑有问题，推荐换电脑保平安

lifan88

据说是Xpaj的32位驱动，老了，大家就随便玩玩了

0200dfg

火绒实时kill

pal家族

13.03.2020 00.25.05;检测到的对象 ( 文件 ) 已删除;D:\360极速浏览器下载\Bootkit-xpaj\Bootkit-xpaj.ex;D:\360极速浏览器下载\Bootkit-xpaj\Bootkit-xpaj.ex;Trojan-Dropper.Win32.Xpaj.a;木马程序;03/13/2020 00:25:05

病毒探索者

Emsisoft & KIS:killed
（KIS先出手，所以Emsisoft扫到的不是本体

lifan88

实际上这玩意重点不是dropper，而且bootkit，看起来都是想藏东西啊

0200dfg

lifan88 发表于 2020-3-13 00:24
据说是Xpaj的32位驱动，老了，大家就随便玩玩了

火绒miss

InnoriaAlter

第一个

第二个

不吃辣的

等明天看人发小a的测试结果

Snake9

Avast