楼主: 00006666
收起左侧

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗?

  [复制链接]
ANY.LNK
发表于 2021-7-3 21:15:38 | 显示全部楼层
a27573 发表于 2021-7-3 21:07
显然文件头被改过

那个sys也是这样

是有内核loader,这个驱动是加密的,由母体驱动(drivers目录下的pci<xxxx>.sys)加载,解密并执行,而这个exe根据描述应该是个和C&C服务器通讯的工具并将内容传递给内核中的恶意驱动,并且可能用于浏览器注入并进行盗号
ANY.LNK
发表于 2021-7-3 21:26:11 | 显示全部楼层
青山永恒 发表于 2021-7-3 21:01
楼主那个样本让WD开不了脱机扫描,不知道怎么做到的。

楼主测试用的驱动会不断检查操作系统的引导启动项,如果发生更改就会暴力重启系统(或以其他方式对抗如往IO 0x64处写out、清空SYSTEM EPROCESS结构、HalReturnToFirmware函数调用强制关机等)。使MD启动不了脱机扫描可能是因为驱动对引导启动项进行了保护防止杀软更改防止重启清除,MD脱机版估计需要变更系统启动引导以进入回复环境,而被锁死的启动引导配置无法更改,这也许就是无法进入脱机版的原因
ANY.LNK
发表于 2021-7-3 21:32:25 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-7-3 21:39 编辑
青山永恒 发表于 2021-7-3 21:21
楼主那个样本你有没有尝试去分析样本自我保护的实现方法。

加VMP壳反调试反分析,禁止自己文件的读写,并将文件信息统统劫持到ACPI.sys上去,杀软来检查的时候,如果不是有特殊手段的,只会读取到系统文件acpi.sys的信息。此外,该驱动比较复杂,集合了众多rootkit技术为一体,以便进行持久化和长期的对抗,详情可以搜索“主页保安”的相关信息此外,该驱动的加载出现问题也有可能会强制系统蓝屏
a27573
发表于 2021-7-3 21:35:01 | 显示全部楼层
本帖最后由 a27573 于 2021-7-3 21:36 编辑
ANY.LNK 发表于 2021-7-3 21:15
是有内核loader,这个驱动是加密的,由母体驱动(drivers目录下的pci.sys)加载,解密并执行,而这个exe ...

修好了
把那个exe 00000108H 处的 70H 65H 改成 50H 45H 就行了
改了之后ESET立刻报 Win64/Riskware.NetFilter.X
可能是格式正确之后高级启发式跑出行为了


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ANY.LNK
发表于 2021-7-3 21:38:19 | 显示全部楼层
a27573 发表于 2021-7-3 21:35
修好了
把那个exe 00000108H 处的 70H 65H 改成 50H 45H 就行了
改了之后ESET立刻报 Win64/Riskw ...

能把修改过后的文件发上来一下吗?
a27573
发表于 2021-7-3 21:45:16 | 显示全部楼层
本帖最后由 a27573 于 2021-7-3 21:55 编辑
ANY.LNK 发表于 2021-7-3 21:38
能把修改过后的文件发上来一下吗?
https://wwa.lanzoui.com/illwsqz4n6j


ANY.LNK
发表于 2021-7-3 21:45:32 | 显示全部楼层
继续之前的Microsoft Defender对楼主样本的测试……换了VMware虚拟机

将组策略中“提前启动的反恶意软件”项设置为“仅‘好’”后重启,系统正常启动,启动IE,BSOD,其中报错的模块指向了ACPI.SYS,典型的劫持表现,重启,再次打开IE,再次BSOD

结论:变更Defender的ELAM设置对防止此类驱动很有作用

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a27573
发表于 2021-7-3 21:49:14 | 显示全部楼层
ANY.LNK 发表于 2021-7-3 21:45
继续之前的Microsoft Defender对楼主样本的测试……换了VMware虚拟机

将组策略中“提前启动的反恶意软件 ...

万一系统启动不了就麻烦了
ANY.LNK
发表于 2021-7-3 21:50:33 | 显示全部楼层
a27573 发表于 2021-7-3 21:45
https://wwa.lanzoui.com/iaLcEqz440j
目前只修了exe

感谢
a27573
发表于 2021-7-3 21:54:59 | 显示全部楼层

驱动也修了,ESET报Win64/Adware.5Hex.K
https://wwa.lanzoui.com/illwsqz4n6j
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 05:00 , Processed in 0.096524 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表