楼主: 00006666
收起左侧

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗?

  [复制链接]
00006666
 楼主| 发表于 2021-6-29 19:20:33 | 显示全部楼层
ikochina 发表于 2021-6-29 19:01
看介绍是说驱动只支持64位驱动,可没说不支持win10啊,毕竟ltsb还是2016年发布的

主要是WIN10本身的安全机制要比WIN7更加完善。
ANY.LNK
发表于 2021-6-29 19:54:36 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-6-30 14:49 编辑

继续之前的Microsoft Defender测试
安装好驱动(未重启)后扫描,成功查找到drivers目录下的恶意驱动并成功移除,但未检测到原目录下的驱动,主页也还是劫持状态接下来重启
……重启后蓝屏了,系统启动不起来
……
虚拟机又汐了(卡在了正在停止上)←这算半个成功清除了吗?
又要修虚拟机了,等会儿继续测
重启物理机再启动虚拟机,启动成功(单纯重启,没有进行其他修复工作)
浏览器主页恢复正常
接下来测试重启后的rootkit完全体

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
00006666 + 2 版区有你更精彩: )

查看全部评分

PanzerVIIIMaus
发表于 2021-6-29 20:04:07 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2021-6-29 20:25 编辑
dg1vg4 发表于 2021-6-29 15:46
话不能这么说啊,火绒是有整出个木马专杀的。

瑞星火绒应该是能单杀这毒的吧?
但是毒运起来了压根就找不到毒了,至少表明对抗没什么力度吧?

而且,专杀也没有对这个问题的性质作出任何改变,你除非说手动和自动扫描的时候就能够调用,
而不是你自己在别处点出这么个独立工具才能进行专查和专杀

就像,我称360急救箱为“轰两万”,但我不能叫有一颗急救箱按钮的360安全卫士是“轰两万”吧?

ANY.LNK
发表于 2021-6-29 20:11:46 | 显示全部楼层
不知怎的,重启完物理机后,虚拟机也恢复了正常,能够正常启动了(我只是重启了物理机,虚拟机没有经过任何修复←下次再这样卡在正在停止我直接用processhacker“帮”你彻底停止(逼我重启物理机┗|`O′|┛),驱动没有再运行,浏览器主页恢复正常。接下来测试Defender vs.重启后的完全体驱动,敬请期待

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
PanzerVIIIMaus
发表于 2021-6-29 20:15:30 | 显示全部楼层
ikochina 发表于 2021-6-29 19:01
看介绍是说驱动只支持64位驱动,可没说不支持win10啊,毕竟ltsb还是2016年发布的

@00006666

既然能被关机,那就表明驱动多多少少仍旧有效

但是Win10下怎么能被清除呢?

我大范围涉猎几个原因,真实原因有可能涉及其中的某一个或多个:
1、防毒软件在Win7的模块,谁也不想大改了,所以导致清除力的问题

2、有可能杀毒软件在Win7 64位环境下有着什么奇怪的桎梏
3、病毒展开了,但在Win10可能因为“游戏规则”的原因没法完全展开
4、Win10开放或者变更了某些接口,杀毒软件利用了更多的优势

00006666
 楼主| 发表于 2021-6-29 20:26:52 | 显示全部楼层
本帖最后由 00006666 于 2021-6-29 20:37 编辑
PanzerVIIIMaus 发表于 2021-6-29 20:15
@00006666

既然能被关机,那就表明驱动多多少少仍旧有效

主要是WIN10本身的安全机制要比WIN7更加完善,杀毒软件在WIN10环境下相对于WIN7环境也拥有更多的优势。
dg1vg4
发表于 2021-6-29 20:55:08 | 显示全部楼层
PanzerVIIIMaus 发表于 2021-6-29 20:04
瑞星火绒应该是能单杀这毒的吧?
但是毒运起来了压根就找不到毒了,至少表明对抗没什么力度吧?
我觉得不行,瑞星火绒一脉相承,不做驱动对抗

这是你自己原话,你这个主语指的是一个企业还是一个具体的产品也没说清楚啊。
再说没有枪和有枪不用可是两回事啊。
PanzerVIIIMaus
发表于 2021-6-29 21:06:20 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2021-6-29 21:11 编辑
dg1vg4 发表于 2021-6-29 20:55
这是你自己原话,你这个主语指的是一个企业还是一个具体的产品也没说清楚啊。
再说没有枪和有枪不用可 ...
瑞星esm365 安全云 应该可以 因为企业版针对染毒环境做了处理

这是他原话,
这样的话我那里很显然会指代指定或指定类型的产品

dg1vg4
发表于 2021-6-29 21:13:00 | 显示全部楼层
PanzerVIIIMaus 发表于 2021-6-29 21:06
这是他原话,
这样的话我那里很显然会指代指定或指定类型的产品

好吧
11111111111445
发表于 2021-6-29 21:27:17 | 显示全部楼层
f-secure online scanner能否测试下?谢谢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 22:05 , Processed in 0.112963 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表