染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

显示全部楼层 · 发表于 2021-6-29 16:03:17

本帖最后由 ANY.LNK 于 2021-6-30 14:55 编辑

Microsoft Defender的测试：开启DG，驱动无法加载，提示参数错误87
关闭DG，rootkit成功植入内核重启，系统卡死在启动页面
当前结果：两败俱伤（待更新，等我修复一下再说）

显示全部楼层 · 发表于 2021-6-29 18:41:43

ANY.LNK 发表于 2021-6-29 00:27
win7的PG容易绕过，但对于win10的资料都很少。win10目前已知的有GhostHook（英特尔CPU有效）和https://gi ...

Win10的资料很少?了解下飞总的Shark?

显示全部楼层 · 发表于 2021-6-29 18:44:41

ANY.LNK 发表于 2021-6-28 23:02
SHA-1驱动签名不是很早就放弃了吗，win10 1607版本开始必须获得 Windows 硬件开发者中心的数字签名才能在系 ...

并不是没开安全启动的话一样可以加载SHA1签名的驱动

显示全部楼层 · 发表于 2021-6-29 18:55:46

Yuki丶发表于 2021-6-29 18:44
并不是没开安全启动的话一样可以加载SHA1签名的驱动

感谢解答，但微软对这些已于2016年就废弃的SHA-1证书仍能提供一定的方式加载真的很不安全。就连win7也在2021年初放弃了SHA-1签名的支持

显示全部楼层 · 发表于 2021-6-29 19:00:35

00006666 发表于 2021-6-28 10:15
WIN10环境就要另说了，这个样本好像只支持64位WIN7。

随便一个急救盘就可以搞定了，不管是360急救箱还是卡巴蜘蛛等的急救盘，基本都可以搞定

显示全部楼层 · 发表于 2021-6-29 19:01:46

00006666 发表于 2021-6-28 10:15
WIN10环境就要另说了，这个样本好像只支持64位WIN7。

看介绍是说驱动只支持64位驱动，可没说不支持win10啊，毕竟ltsb还是2016年发布的

显示全部楼层 · 发表于 2021-6-29 19:03:13

陪你去见鬼发表于 2021-6-28 13:55
这病毒也太厉害了，实际中开启实时防护，他连运行的机会都没有吧

下载就会报毒了

显示全部楼层 · 发表于 2021-6-29 19:04:52

huangsijun17 发表于 2021-6-28 17:35
所以说，我遇到中毒的，都让跑360急救箱。

遇到中毒了不好弄就直接用急救盘，带毒环境下还是pe急救盘管用，不管是蜘蛛还是卡巴数字

显示全部楼层 · 发表于 2021-6-29 19:09:28

henry217 发表于 2021-6-28 21:52
我来测试一下KRD （卡巴斯基应急磁盘）成功

只要能找出来，随便一个急救盘都可以干掉它，作者也说了，pe下手动删除驱动就完事了，所以pe下就没任何自保能力

显示全部楼层 · 发表于 2021-6-29 19:12:07

ANY.LNK 发表于 2021-6-28 23:02
SHA-1驱动签名不是很早就放弃了吗，win10 1607版本开始必须获得 Windows 硬件开发者中心的数字签名才能在系 ...

ltsb可是16年的，也只是更新些补丁，不更新功能的

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？