楼主: 00006666
收起左侧

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗?

  [复制链接]
ANY.LNK
发表于 2021-6-29 16:03:17 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-6-30 14:55 编辑

Microsoft Defender的测试:开启DG,驱动无法加载,提示参数错误87
关闭DG,rootkit成功植入内核重启,系统卡死在启动页面
当前结果:两败俱伤(待更新,等我修复一下再说)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Yuki丶
发表于 2021-6-29 18:41:43 | 显示全部楼层
ANY.LNK 发表于 2021-6-29 00:27
win7的PG容易绕过,但对于win10的资料都很少。win10目前已知的有GhostHook(英特尔CPU有效)和https://gi ...

Win10的资料很少?了解下飞总的Shark?
Yuki丶
发表于 2021-6-29 18:44:41 | 显示全部楼层
ANY.LNK 发表于 2021-6-28 23:02
SHA-1驱动签名不是很早就放弃了吗,win10 1607版本开始必须获得 Windows 硬件开发者中心的数字签名才能在系 ...

并不是 没开安全启动的话一样可以加载SHA1签名的驱动
ANY.LNK
发表于 2021-6-29 18:55:46 | 显示全部楼层
Yuki丶 发表于 2021-6-29 18:44
并不是 没开安全启动的话一样可以加载SHA1签名的驱动

感谢解答,但微软对这些已于2016年就废弃的SHA-1证书仍能提供一定的方式加载真的很不安全。就连win7也在2021年初放弃了SHA-1签名的支持
ikochina
头像被屏蔽
发表于 2021-6-29 19:00:35 | 显示全部楼层
00006666 发表于 2021-6-28 10:15
WIN10环境就要另说了,这个样本好像只支持64位WIN7。

随便一个急救盘就可以搞定了,不管是360急救箱还是卡巴蜘蛛等的急救盘,基本都可以搞定
ikochina
头像被屏蔽
发表于 2021-6-29 19:01:46 | 显示全部楼层
00006666 发表于 2021-6-28 10:15
WIN10环境就要另说了,这个样本好像只支持64位WIN7。

看介绍是说驱动只支持64位驱动,可没说不支持win10啊,毕竟ltsb还是2016年发布的
ikochina
头像被屏蔽
发表于 2021-6-29 19:03:13 | 显示全部楼层
陪你去见鬼 发表于 2021-6-28 13:55
这病毒也太厉害了,实际中开启实时防护,他连运行的机会都没有吧

下载就会报毒了
ikochina
头像被屏蔽
发表于 2021-6-29 19:04:52 | 显示全部楼层
huangsijun17 发表于 2021-6-28 17:35
所以说,我遇到中毒的,都让跑360急救箱。

遇到中毒了不好弄就直接用急救盘,带毒环境下还是pe急救盘管用,不管是蜘蛛还是卡巴数字
ikochina
头像被屏蔽
发表于 2021-6-29 19:09:28 | 显示全部楼层
henry217 发表于 2021-6-28 21:52
我来测试一下KRD (卡巴斯基应急磁盘) 成功

只要能找出来,随便一个急救盘都可以干掉它,作者也说了,pe下手动删除驱动就完事了,所以pe下就没任何自保能力
ikochina
头像被屏蔽
发表于 2021-6-29 19:12:07 | 显示全部楼层
ANY.LNK 发表于 2021-6-28 23:02
SHA-1驱动签名不是很早就放弃了吗,win10 1607版本开始必须获得 Windows 硬件开发者中心的数字签名才能在系 ...

ltsb可是16年的,也只是更新些补丁,不更新功能的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:37 , Processed in 0.121637 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表