这个是什么？过所有杀毒、会联网下载、自我删除、检测自身被调试

显示全部楼层 · 发表于 2020-5-20 11:49:06

54ss 发表于 2020-5-20 10:42
过扫描不意味着能过主防自动隔离但是扫描miss 估计是触发主防了
白利用？

扫描被过的话翻车率非常大的

参考那个word白利用，艹翻世界三大厂

显示全部楼层 · 发表于 2020-5-20 11:51:00

本帖最后由 tdsskiller 于 2020-5-20 11:52 编辑

这个比较难确定是不是apt19的白利用，还是软件正常行为，推荐楼主去咨询一下360远程和火绒远程

如果没有找到父级调用的话一切都是白搭

显示全部楼层 · 发表于 2020-5-20 11:56:24

tdsskiller 发表于 2020-5-20 11:39
白利用防不了，但是母体调用和黑dll得想办法干死

求大神指点一二，查杀的思路和工具，烦请简单点拨。

显示全部楼层 · 发表于 2020-5-20 12:04:46

luofeng3000 发表于 2020-5-20 11:56
求大神指点一二，查杀的思路和工具，烦请简单点拨。

1, 你需要看看杀软到底是因为什么动作隔离他的，如果杀软什么也不说就很坑爹。全盘扫描一下看看母体调用和黑dll入库没。

2, 检查各种启动项，服务或者计划任务（火绒剑和pchunter都不全，我也没法怎么推荐），看看有没有启动这个进程的参数，千万不要删除，要仔细看调用命令行和相关模块地址，然后把对应模块都找出来改名字（千万别删除，小白最喜欢一键删除，然后就没有人收集到样本，或者误伤正常软件）

3, 如果存在注入的话只能用火绒剑和全局进程动作跟踪的软件去跟...

显示全部楼层 · 发表于 2020-5-20 12:28:29

tdsskiller 发表于 2020-5-20 12:04
1, 你需要看看杀软到底是因为什么动作隔离他的，如果杀软什么也不说就很坑爹。全盘扫描一下看看母体调用 ...

感谢。我再试试

显示全部楼层 · 发表于 2020-5-20 12:32:54

luofeng3000 发表于 2020-5-20 12:28
感谢。我再试试

实际上我是推荐让360/火绒远程。。。至少先确定是流氓还是白利用引起的。。。像我们这种小白找起来太难了

显示全部楼层 · 发表于 2020-5-20 13:38:55

这些行为的软件多了去了，你不信你把卡巴安装包上传哈勃试试。照样很多行为

显示全部楼层 · 发表于 2020-5-20 13:54:38

fs 扫描miss

显示全部楼层 · 发表于 2020-5-20 16:21:45

应该是白利用，里面的代码权限很高，
包括读写其他进程的内存，远程下载文件，
这个利用起来，感觉很舒服。

显示全部楼层 · 发表于 2020-5-20 17:53:22

kis2010没发现问题

[病毒样本] 这个是什么？过所有杀毒、会联网下载、自我删除、检测自身被调试