染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

ANY.LNK

a27573 发表于 2021-7-3 21:07
显然文件头被改过

那个sys也是这样

是有内核loader，这个驱动是加密的，由母体驱动（drivers目录下的pci<xxxx>.sys）加载，解密并执行，而这个exe根据描述应该是个和C&C服务器通讯的工具并将内容传递给内核中的恶意驱动，并且可能用于浏览器注入并进行盗号

ANY.LNK

青山永恒 发表于 2021-7-3 21:01
楼主那个样本让WD开不了脱机扫描，不知道怎么做到的。

楼主测试用的驱动会不断检查操作系统的引导启动项，如果发生更改就会暴力重启系统（或以其他方式对抗如往IO 0x64处写out、清空SYSTEM EPROCESS结构、HalReturnToFirmware函数调用强制关机等）。使MD启动不了脱机扫描可能是因为驱动对引导启动项进行了保护防止杀软更改防止重启清除，MD脱机版估计需要变更系统启动引导以进入回复环境，而被锁死的启动引导配置无法更改，这也许就是无法进入脱机版的原因

ANY.LNK

青山永恒 发表于 2021-7-3 21:21
楼主那个样本你有没有尝试去分析样本自我保护的实现方法。

加VMP壳反调试反分析，禁止自己文件的读写，并将文件信息统统劫持到ACPI.sys上去，杀软来检查的时候，如果不是有特殊手段的，只会读取到系统文件acpi.sys的信息。此外，该驱动比较复杂，集合了众多rootkit技术为一体，以便进行持久化和长期的对抗，详情可以搜索“主页保安”的相关信息此外，该驱动的加载出现问题也有可能会强制系统蓝屏

a27573

ANY.LNK 发表于 2021-7-3 21:15
是有内核loader，这个驱动是加密的，由母体驱动（drivers目录下的pci.sys）加载，解密并执行，而这个exe ...

修好了
把那个exe 00000108H 处的 70H 65H 改成 50H 45H 就行了
改了之后ESET立刻报 Win64/Riskware.NetFilter.X
可能是格式正确之后高级启发式跑出行为了

ANY.LNK

a27573 发表于 2021-7-3 21:35
修好了
把那个exe 00000108H 处的 70H 65H 改成 50H 45H 就行了
改了之后ESET立刻报 Win64/Riskw ...

能把修改过后的文件发上来一下吗？

a27573

ANY.LNK 发表于 2021-7-3 21:38
能把修改过后的文件发上来一下吗？

https://wwa.lanzoui.com/illwsqz4n6j

ANY.LNK

继续之前的Microsoft Defender对楼主样本的测试……换了VMware虚拟机

将组策略中“提前启动的反恶意软件”项设置为“仅‘好’”后重启，系统正常启动，启动IE，BSOD，其中报错的模块指向了ACPI.SYS，典型的劫持表现，重启，再次打开IE，再次BSOD

结论：变更Defender的ELAM设置对防止此类驱动很有作用

a27573

ANY.LNK 发表于 2021-7-3 21:45
继续之前的Microsoft Defender对楼主样本的测试……换了VMware虚拟机

将组策略中“提前启动的反恶意软件 ...

万一系统启动不了就麻烦了

ANY.LNK

a27573 发表于 2021-7-3 21:45
https://wwa.lanzoui.com/iaLcEqz440j
目前只修了exe

感谢

a27573

ANY.LNK 发表于 2021-7-3 21:50
感谢

驱动也修了，ESET报Win64/Adware.5Hex.K
https://wwa.lanzoui.com/illwsqz4n6j