染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

00006666

从2018到2021，3年间，杀软的rootkit清除能力提升是否明显，本期测试将一探究竟。


测试环境：win7  企业版  64位系统

测试样本：https://bbs.kafan.cn/thread-2138187-1-1.html
样本简介：属于典型的Rootkit类样本，具有极强的内核对抗能力。


测试环境准备：在虚拟机环境中执行样本，重启后，IE与360chrome浏览器主页均被锁定，确认样本执行成功。

      

测试方法：于染毒环境中安装待测杀毒软件，安装成功后执行扫描，重启后进行第二次扫描，并统计结果，判定是否查杀成功。

下面进入正式测试：


一号选手---诺顿强力清除工具                                  结果：失败

NPE于测试环境中启动扫描失败。




二号选手---火绒专杀工具                                         结果：失败

扫描检出异常项目，进行处理。

      

点击重启后，系统不能正常启动

   

三号选手---瑞星                                                         结果：失败

防护正常开启，扫描显示无任何威胁项目。
     

四号选手---ESET Internet Security                                                          结果：失败

扫描检出威胁项目，处理后重启，主页仍处锁定状态，未能成功清除样本。




五号选手---卡巴斯基   KVRT                                         结果：失败

KVRT可识别样本驱动，点击重启清除后虚拟机强制关闭，重新开启虚拟机后扫描，样本驱动仍然存在。

   

六号选手---卡巴斯基安全软件                                             结果：失败


卡巴斯基安全软件可检出样本，按提示点击重启清除后虚拟机强制关闭，重新开启虚拟机后始终无法打开卡巴斯基主界面。

   

  

七号选手---360杀毒                                                               结果：失败

360杀毒第一次扫描检出异常项目，处理后重启再次扫描显示无异常，防护正常开启，主页防护开启，浏览器主页仍被样本锁定。

   

八号选手---360系统急救箱                                                       结果：成功

使用360急救箱强力模式扫描，按提示操作，重启后进行第二次扫描，样本被成功清除，主页可正常更改。

           


九号选手---卡巴斯基  TDSSKILLER                                             结果：失败

TDSSKILLER未检出任何威胁项目。

  

十号选手---火绒安全软件                                                            结果：失败

火绒安全软件全盘扫描未检出任何威胁。



十一号选手---智量                                                                       结果：失败

智量使用最高启发级别，全盘扫描未检出任何威胁项目。



十二号选手---G DATA Internet Security                                     结果：失败

G DATA 全盘扫描未检出任何威胁项目。



十三号选手---Emsisoft Emergency Kit                                           结果：部分成功

EEK成功识别样本驱动，不过并未删除或是隔离样本，提示联系人工服务来处理样本。




十四号选手---小红伞                                                                       结果：失败

小红伞全盘扫描未检出任何威胁项目。



十五号选手---江民杀毒                                                                          结果：失败

江民杀毒全盘扫描未检出任何威胁项目。



十六号选手---微点杀毒                                                                          结果：失败

微点杀毒全盘扫描未检出任何威胁项目。



十七号选手---金山                                                                                结果：失败

金山全盘扫描未检出任何威胁项目。




十八号选手---金山顽固木马专杀                                                            结果：失败

金山顽固木马专杀未检出任何威胁项目。         




十九号选手---ESET Endpoint Security                                               结果：失败

ESET Endpoint Security 全盘扫描未检出任何威胁项目。



二十号选手---卡巴斯基端点安全                                                         结果：失败

KES可检出样本，点击重启清除后，虚拟机强制关闭，重新进入虚拟机后显示KES需要重新安装，未能成功清除样本。





二十一号选手---HitmanPro                                                                      结果：失败

HitmanPro可检出样本，提示重启清除，重启后扫描样本仍然存在，多次扫描并按提示点击重启清除未能成功清除样本。

   

   


补充说明：

（一）由于样本会阻止杀软读取自身，所以部分杀软全盘扫描未能检出样本。


（二）WIN10环境测试结果，可参照 10楼  38楼  101楼  112楼  123楼  的有关测试。

PanzerVIIIMaus

黑寡妇：小 老 弟 你 把 握 不 住

·Windows 10 LTSB2016（1607）


·按帖子使用【批处理版】，重启虚拟机系统

·确认受感染，修改主页无效，此时开始正常安装Dr.Web，利用安装时进行更新，安装和更新完毕后按要求重启虚拟机系统


·看见他啦！黑寡妇看见他啦！


·点击【解除威胁】，黑寡妇迅速开始发动猛烈的进攻！一时间场上刀光剑影，难分难解！



·病毒架势可能有点不太稳！好，只见黑寡妇盯准时机，一记袈裟斩往——

果 不 其 然 ！！！病毒使用了【当身技】！配合烟幕弹，随着轰然一声，场上竟一时浓雾四起，随后寂静无声
漂亮的一招！这难道就是病毒等待的时机吗？


在烟雾散去之后会看到什么样的情形，相信大家心中已经浮起了悬念
既然【格挡】了，那想必是病毒先出手了呢！
战斗尚未判定结束，各位观众请耐心等待



·等待浓雾逐渐散去
好！现在画面逐渐明晰，来看看啊，等待我们的是——人头落地！
人头！？我滴龟龟，劳资解说三百六十五年，生生死死见惯不怪，但见人头落地却只有少数几次！
罕见、罕见、这绝对是稀世罕见的绝命局面！

这人头……


（待浓雾彻底散去）啊！是黑寡妇！黑寡妇还站着！病毒死了！





寡妇手上，已经换作了大剑，见状就是风驰电掣地冲往病毒，跳将起来，砸碎了病毒的尸体！这一砸，势大力沉，场上顿时血光四溢
















……
…………
………………

·经过裁判仲裁，这把比赛以黑寡妇的胜利告终，感谢黑寡妇为我们带来的精彩角斗！












后记：寡 妇 由 心 生

·Windows 7 旗舰版 x64

·按帖子使用【批处理版】，重启虚拟机系统

·确认受感染，修改主页无效，此时开始正常安装Dr.Web，利用安装时进行更新，安装和更新完毕后按要求重启虚拟机系统

·比赛结束了，但黑寡妇仍旧站在场上，死盯着病毒没有丝毫的松懈，到底是怎么了？
（轰隆隆——）哇！发生了什么！
大家都惊慌了
只见一阵天旋地转，MC和周围的观众都躲了起来，有的在桌子下，有的在椅子下，
但稍后，震荡尚未等到完全停止，他们就都察觉到了什么似的，不约而同地爬了出来，望向了对战台——
不 可 能 ！

MC歇斯底里地吼叫着，因为此情此景，超出了所有人类的认知：

病毒复活了！那个本该血肉模糊的那坨肉复活了！
黑寡妇稍稍放松，仿佛明白了什么

“……业障”

MC顿然醒悟，业障，乃魔具创造时衍生逆行之物，通常于魔具即将成型时破出散去，不知何方，
眼前的黑寡妇，其实正如传说那斩除灾祸之刃，
而这病毒，则正是其特性相反的业障！
MC意识到这已经是一场关乎人类存亡的大战，但人们不知道，他们相生而不灭
病毒无法无制衡地影响世界
寡妇也无法在何时何地都成功阻止病毒



正当人们不知所措的时候


（——————————轰轰轰轰轰轰轰轰轰轰轰轰轰轰轰轰轰轰）
巨大的声响从上方传来，


啊，是轰两万！
轰两万？他们来干什么！？
与其关注这场大战，大家更关注天上的不寻常之物。

只见这架飞机“分娩”出了一个东西。
“麻麻麻麻，他生了！”这时一个小孩大喊道。
生了？
生了？MC也疑惑了。

他生了什么？
场上的战斗还在进行，但没有其他对象留意到，黑寡妇的嘴角此时已经微微翘起
半晌，空中的东西发出了强烈光芒，这一刻MC才猛然想起
这是“大—胖——小————子————————”

无尽的光与热，撕裂了此处所有的空间


轰两万（下图引用楼主）

救命稻草

选手一：腾讯电脑管家能检测到威胁，提示重启清除后失败



选手二：金山毒霸未能检测





选手三：Windows清理助手  

扫描能够检测到威胁，清理模式采用内核模式，提示重启后虚拟机直接关闭，然后无法开机，失败。（稍后尝试其它清理模式）

aboringman

Win10下，KFA，似乎不以高级清除的形式是可以解决对手的。。。。。。（高级清除会触发关机）重启后扫描没有发现威胁，IE没有问题。







准备二次测试，要严谨。

二次测试确定，普通清除可以解决。



红伞扑街

Avast不敌对手，被K.O.下场，有请下个选手ESET。（开机扫描杀一次，进系统，嘿嘿，还在，再次扫描发现无法处理）







ESET还是防不了自雷。（扫描结束，反隐藏的作用究竟是什么。。。。。。）





McAfee失败

henry217

我来测试一下KRD （卡巴斯基应急磁盘） 成功


卡巴斯基首先检测到驱动，然后启动了全盘高级清除


清除完毕，重新启动虚拟机，发现IE的主页又变成了可爱的MSN

PanzerVIIIMaus

使用Microsoft System Center Endpoint Protection 4.10【一般认为SCEP除数小时的病毒库延迟外，与普通版本的MSE无异】

·Windows 7 旗舰版 x64

·按帖子使用【批处理版】，重启虚拟机系统

·确认受感染，修改主页无效，此时开始正常安装SCEP并更新，重启虚拟机系统再进行测试

·侦测成功 - 清除失败
包括二次手动扫描清除
包括二次监控阻断尝试

ANY.LNK

Microsoft Defender的测试：开启DG，驱动无法加载，提示参数错误87
关闭DG，rootkit成功植入内核重启，系统卡死在启动页面
当前结果：两败俱伤（待更新，等我修复一下再说）

ANY.LNK

继续之前的Microsoft Defender测试
安装好驱动（未重启）后扫描，成功查找到drivers目录下的恶意驱动并成功移除，但未检测到原目录下的驱动，主页也还是劫持状态接下来重启
……重启后蓝屏了，系统启动不起来
……
虚拟机又汐了（卡在了正在停止上）←这算半个成功清除了吗？
又要修虚拟机了，等会儿继续测
重启物理机再启动虚拟机，启动成功（单纯重启，没有进行其他修复工作）
浏览器主页恢复正常
接下来测试重启后的rootkit完全体

ANY.LNK

现在已经准备好了一台被劫持的重启后的虚拟机
开始快速扫描……
没有发现威胁
尝试完全扫描
Defender查出了桌面上的病毒文件，没有查出Drivers目录下的，主页仍被劫持
再次重启
主页仍为劫持状态，rootkit驱动还在drivers目录下
接下来尝试尝试脱机版扫描
我这里无法启动Microsoft Defender的脱机版扫描，又因为虚拟机出现严重故障影响到了物理机（包括实机无法正常关机、重启，死机蓝屏等），故停止测试，希望有人能帮忙补测一个完整的微软defender测试。
本次测试因为虚拟机故障不够严谨，希望有人能补测一个严谨的测试

hooyuan

PANDA-失败

.扫描可以检测，重启后清除失败。



使用专用清理工具，同样失败，total失败

hooyuan

离谱急救箱

yg19

fsp感染状态下清理掉了驱动（win10环境）

ANY.LNK

青山永恒 发表于 2021-7-3 21:01
楼主那个样本让WD开不了脱机扫描，不知道怎么做到的。

楼主测试用的驱动会不断检查操作系统的引导启动项，如果发生更改就会暴力重启系统（或以其他方式对抗如往IO 0x64处写out、清空SYSTEM EPROCESS结构、HalReturnToFirmware函数调用强制关机等）。使MD启动不了脱机扫描可能是因为驱动对引导启动项进行了保护防止杀软更改防止重启清除，MD脱机版估计需要变更系统启动引导以进入回复环境，而被锁死的启动引导配置无法更改，这也许就是无法进入脱机版的原因

ANY.LNK

青山永恒 发表于 2021-7-3 21:21
楼主那个样本你有没有尝试去分析样本自我保护的实现方法。

加VMP壳反调试反分析，禁止自己文件的读写，并将文件信息统统劫持到ACPI.sys上去，杀软来检查的时候，如果不是有特殊手段的，只会读取到系统文件acpi.sys的信息。此外，该驱动比较复杂，集合了众多rootkit技术为一体，以便进行持久化和长期的对抗，详情可以搜索“主页保安”的相关信息此外，该驱动的加载出现问题也有可能会强制系统蓝屏

ANY.LNK

继续之前的Microsoft Defender对楼主样本的测试……换了VMware虚拟机

将组策略中“提前启动的反恶意软件”项设置为“仅‘好’”后重启，系统正常启动，启动IE，BSOD，其中报错的模块指向了ACPI.SYS，典型的劫持表现，重启，再次打开IE，再次BSOD

结论：变更Defender的ELAM设置对防止此类驱动很有作用

ANY.LNK

现在使用Defender进行快速扫描，立刻就发现了恶意驱动，点击执行操作，触发了强制关机。重新打开电脑，驱动被成功隔离，IE成功打开默认MSN主页，系统恢复正常。
结论：Defender在ELAM设置正确的情况下，可正常清除此rootkit（甚至不需要脱机版的协助）【这是不是第三个在win10环境下能成功清除此rootkit的杀软（急救箱除外）？】
PS：此过程中我还发现之前重启清除提示的语法错误已被纠正

ANY.LNK

青山永恒 发表于 2021-7-3 22:42
win7没有ELAM，急救箱也能杀楼主测试那个样本。

win10的急救箱是能用ELAM查杀的，重启后的红色扫描强力模式就用到了ELAM，win7上的急救箱，按原作者wowocock的说法，急救箱用了比较猥琐的手段绕过了驱动的自我保护移除了此样本，而且当初360急救箱也不好过，不得不拼命更新自己的驱动以应付此系列样本越来越强的保护，不然也无法清除此样本（当初360急救箱是被针对的最严重的一个）。（当初360急救箱成为了唯一一个能在用户不手动变更系统或杀软设置下清除此驱动的工具）现在此驱动早已停止更新，而急救箱却又更新了许多代，在各个系统上都有测试，所以肯定有更多的手段在各个系统上查杀此样本（据说是用很“猥琐”的方式提升了自己驱动加载的优先级，再往后禁用掉所有的非系统驱动的加载）

ANY.LNK

青山永恒 发表于 2021-7-3 23:01
也就是说，急救箱在win7用特殊方法实现类ELAM，可以停掉不安全驱动的加载。

嗯，应该是这样的，但无法完全做到像真正的ELAM的完全的功能，其功能仍会受限于win7的系统，估计是像DsArk(64).sys这样的驱动加载顺序位置，而楼主的这个样本加载是在fltmgr.sys之后

a27573

ESET 14.2.19
Windows LTSC 2019 17763.2028


重启后IE被劫持

安全启动处于开启状态




想用PC Hunter看一下驱动模块，蓝屏了。。。试了两次都是这样
PC Hunter 1.57
@ANY.LNK

用OpenArk看到两个ACPI.sys


fltmc倒是能看到原本的名字


ESET无法扫描Rootkit本体


开启ELAM后该Rootkit仍然加载

失败


@00006666

ANY.LNK

a27573 发表于 2021-7-12 23:38
为了整理信息翻回来看了一下
突然想到

此楼用于回复@a27573的疑问

此时已关闭VMware安全启动，ELAM配置为“仅‘好’”



安装rootkit后重启扫描，能够扫描到恶意驱动


隔离最后提示重启，重启时关机，再度开机后驱动被成功隔离清除，主页恢复正常，系统恢复正常，恶意驱动及其filter被成功清除


结论：阻止驱动加载的关键是ELAM

困死了，折腾这么久总算测完了，去睡觉

a27573

a27573 发表于 2021-7-11 23:56
估计是挂了（以管理员身份扫描，ELAM默认设置）

更新：完整扫描有了




确实扫不出来
C盘引导区和rootkit驱动都无法读取

不知道ESET的反隐藏组件在干什么。。。

aphorism

总结一下：

完全检测不到的杀软：
Norton强力，瑞星，火绒，G data， 小红伞，江民，金山，微点，Macfee，金山顽固

能检测出无法清除：
火绒专杀，eset，卡巴，360，hitman，avast，panda，蜘蛛

成功清除：
360急救箱，emsisoft（部分成功），Windows defender（win10 系统下）

henry217

试试KVRT https://support.kaspersky.com/utility

00006666

henry217 发表于 2021-6-27 23:29
试试KVRT https://support.kaspersky.com/utility

KVRT在我这里下载速度非常慢

henry217

00006666 发表于 2021-6-27 23:32
KVRT在我这里下载速度非常慢

https://pan.huang1111.cn/s/AKvhB

这是高速通道

第二个号

试试360主页防护，如果不行的话，再试试工具里的主页修复

00006666

henry217 发表于 2021-6-27 23:42
https://pan.huang1111.cn/s/AKvhB

这是高速通道

KVRT测试完成了。

心如止水e

360急救箱会测试吗？

anthonyqian

npe竟然无法启动？试试看完整版诺顿呢，也试试看完整版的卡巴斯基

Jerry.Lin

试一下这个
https://media.kaspersky.com/util ... s/EN/tdsskiller.exe