楼主: 00006666
收起左侧

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗?

  [复制链接]
tdsskiller
发表于 2021-7-3 00:14:16 | 显示全部楼层
本帖最后由 tdsskiller 于 2021-7-3 00:16 编辑
ANY.LNK 发表于 2021-7-3 00:01
Microsoft Defender:安装完安装包并重启后扫描发现并清除了1个驱动Trojan:Win64/Detrahere.S
,请问此r ...

那就是弄不死,连那个exe也没扫出来
弄死的话tdsskiller应该可以正常扫描,没弄死tdsskiller加载驱动有问题
wwwab
发表于 2021-7-3 09:28:49 | 显示全部楼层
henry217 发表于 2021-6-30 16:32
https://docs.microsoft.com/zh-cn/windows/security/threat-protection/intelligence/safety-scanner-down ...

那个微点,是微点佰慧的。
微点佰慧有两个产品,一个是微点佰慧安全杀毒软件,一个是微点佰慧智能防御软件。我们常用的那个是微点佰慧智能防御软件,楼主测的是微点佰慧安全杀毒软件,所以你才会感觉到觉得这个页面很陌生的样子。
微点佰慧安全杀毒软件和东方微点安全杀毒软件,长的还是区别挺大的。

评分

参与人数 1人气 +1 收起 理由
henry217 + 1

查看全部评分

ANY.LNK
发表于 2021-7-3 10:28:19 | 显示全部楼层
tdsskiller 发表于 2021-7-3 00:14
那就是弄不死,连那个exe也没扫出来
弄死的话tdsskiller应该可以正常扫描,没弄死tdsskiller加载 ...

exe扫出来了,报告发现2个威胁,但Defender因为我在https://bbs.kafan.cn/thread-2211248-1-1.html提到的bug,对扫描出来的多个威胁只会显示处理一个(实际也只处理了一个),剩下那个会视而不见,这个问题很让人头疼。还有,sys和exe是否是互相保护的?
ANY.LNK
发表于 2021-7-3 10:30:21 | 显示全部楼层
tdsskiller 发表于 2021-7-3 00:14
那就是弄不死,连那个exe也没扫出来
弄死的话tdsskiller应该可以正常扫描,没弄死tdsskiller加载 ...

还有exe的名称是什么?我用Processhacker/火绒剑没看见有可疑进程
tdsskiller
发表于 2021-7-3 11:15:17 | 显示全部楼层
本帖最后由 tdsskiller 于 2021-7-3 11:16 编辑
ANY.LNK 发表于 2021-7-3 10:30
还有exe的名称是什么?我用Processhacker/火绒剑没看见有可疑进程

那个exe火绒剑看不见,ph不知道,你试试看tdsskiller能否正常运行就知道了,那个exe貌似也是随机名,有没有互相保护不知道
ANY.LNK
发表于 2021-7-3 11:19:31 | 显示全部楼层
tdsskiller 发表于 2021-7-3 11:15
那个exe火绒剑看不见,ph不知道,你试试看tdsskiller能否正常运行就知道了,那个exe貌似也是随机名,有没 ...

所以文件名和文件位置在哪里啊,这边扫出来的sys在不断变化名称,这是这个驱动本身的特征还是被删了之后的复生?PS:火绒剑看不到可疑的内核模块或驱动
tdsskiller
发表于 2021-7-3 11:25:05 | 显示全部楼层
ANY.LNK 发表于 2021-7-3 11:19
所以文件名和文件位置在哪里啊,这边扫出来的sys在不断变化名称,这是这个驱动本身的特征还是被删了之后 ...

exe应该在system32下的一个随机名文件夹中,驱动不太确定在前面的随机名文件夹里还是在drivers下,总之这玩意非常猛,火绒剑驱动设备和签名检测都被屏蔽了,仔细你还是能找到牛头不对马嘴的恶意驱动的

太久了我已经忘了具体了,貌似一个exe三个驱动,exe和母体驱动在一起,母体驱动会加载另外两个加密驱动,然后貌似三个驱动的位置在ark里面都不能正确识别
ANY.LNK
发表于 2021-7-3 11:32:19 | 显示全部楼层
tdsskiller 发表于 2021-7-3 11:25
exe应该在system32下的一个随机名文件夹中,驱动不太确定在前面的随机名文件夹里还是在drivers下,总之这 ...

报毒的驱动在drivers目录下,名称为pci<随机4个字母>.sys,请问这些驱动里面有白利用吗?两个加密驱动的名称是什么?在哪里?
tdsskiller
发表于 2021-7-3 11:36:47 | 显示全部楼层
本帖最后由 tdsskiller 于 2021-7-3 11:44 编辑
ANY.LNK 发表于 2021-7-3 11:32
报毒的驱动在drivers目录下,名称为pci.sys,请问这些驱动里面有白利用吗?两个加密驱动的名称是什么?在 ...

应该都是随机名,加密驱动应该在system32下的随机名文件夹中,老古董rootkit,已经忘却了
白利用不确定,初步来看应该没有劫持malwarebyte驱动的迹象;

题外话,劫持malwarebyte驱动的rootkit只在某老外提到过,但是云端失效了无法证实,最近接触劫持malwarebyte驱动的也只有某无痕外{过}{滤}挂这么干了,但是这种操作又很像3年前劫持火绒驱动的操作...
ANY.LNK
发表于 2021-7-3 11:39:20 | 显示全部楼层
tdsskiller 发表于 2021-7-3 11:36
应该都是随机名,加密驱动应该在system32下的随机名文件夹中,老古董rootkit,已经忘却了

好的,我一会儿看看
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:49 , Processed in 0.084209 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表