重复样本（结帖）

XywCloud

落华无痕 发表于 2021-1-3 21:43
今天某论坛看到的中毒求助，远程收集的，想着数字签名这么近，没想到有人发过了，还一样的名字。。。
像 ...

之前大致看了下，像是那种传奇私{和谐}服放出来的东西

tdsskiller

落华无痕 发表于 2021-1-3 18:42
数字签名信任？怎么看怎么像驱动木马。

裸WHQL签名，强啊

jianfuyindidi

趋势

wwwab

tdsskiller 发表于 2021-1-3 23:34
裸WHQL签名，强啊

那多半就是rootkit了，用火绒剑加上火绒的专杀工具大部分都能完美地干掉，麻烦点最多再加个自定义规则跟踪一下情况，360工程师这咋还搞了半天？……

落华无痕

wwwab 发表于 2021-1-10 13:50
那多半就是rootkit了，用火绒剑加上火绒的专杀工具大部分都能完美地干掉，麻烦点最多再加个自定义规则跟 ...

不一定是真工程师，客服也说不定。同类型的最近遇到了更厉害的，问题解决了但没搜集到样本。。。
禁止pchunter加驱，禁止安装硬盘PE，禁止编辑BCD，禁止修改DNS等。最后安全模式下装PE，进PE里解决了

wwwab

落华无痕 发表于 2021-1-10 15:21
不一定是真工程师，客服也说不定。同类型的最近遇到了更厉害的，问题解决了但没搜集到样本。。。
禁止pc ...

我想见识见识

另外，用联网的U盘pe远程过去提取样本不香吗

落华无痕

wwwab 发表于 2021-1-10 15:51
我想见识见识

另外，用联网的U盘pe远程过去提取样本不香吗

问题对方没U盘。也浪费了样本。

tdsskiller

wwwab 发表于 2021-1-10 13:50
那多半就是rootkit了，用火绒剑加上火绒的专杀工具大部分都能完美地干掉，麻烦点最多再加个自定义规则跟 ...

实际上火绒剑比火绒专杀好用，在驱动是常规驱动的时候。但是map类和驱动模块隐藏类火绒专杀和火绒剑都没法用...所谓的好用是因为你小众没人针对，火绒剑有个极其强大的内核功能可能大多数人没注意到没做针对而已...大部分rootkit确实是火绒剑能detect到，火绒专杀还真不行..真正杀我都是某个类似pch的工具加火绒剑某功能加急救箱干的
纠正一下，那些驱动加载后自定义规则是没用的，各种阴间操作火绒是抗不住的，加载前还能救一救

tdsskiller

落华无痕 发表于 2021-1-10 16:44
问题对方没U盘。也浪费了样本。

可惜了

wwwab

tdsskiller 发表于 2021-1-10 21:56
实际上火绒剑比火绒专杀好用，在驱动是常规驱动的时候。但是map类和驱动模块隐藏类火绒专杀和火绒剑都没 ...

火绒专杀大部分都能搞定，之所以被推荐，其中一个原因就是小白不会用火绒剑，一用反倒把系统给搞坏了……而且中这种病毒搞不定的，也就都是小白啊，会的自己就能搞定……实在搞不定，找杀软工程师就对了……另外，自定义规则防不住阴间操作，但是能防住明显操作啊，比如恶意驱动程序在桌面创建快捷方式就能拦住，给小白作个临时的解决方法也挺不错的……

ps火绒最近就刚通报了部分用户电脑上的一个恶意驱动程序与火绒对抗导致蓝屏的事情，暂时没给样本哈希值，可以去看看能不能拿到样本。在火绒安全论坛置顶贴中有。