楼主: 00006666
收起左侧

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗?

  [复制链接]
a27573
发表于 2021-7-3 21:59:21 | 显示全部楼层
本帖最后由 a27573 于 2021-7-3 22:01 编辑

.sys VT 20/68
https://www.virustotal.com/gui/f ... 369778624/detection

.exe还没人上传过(该不会是我没有彻底修好吧
15/69
https://www.virustotal.com/gui/f ... 8d9386852/detection

对比原先的检出,说明对文件头的简单修改可以有效免杀
就是load时要处理一下

ANY.LNK
发表于 2021-7-3 22:03:34 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-7-3 22:38 编辑

现在使用Defender进行快速扫描,立刻就发现了恶意驱动,点击执行操作,触发了强制关机。重新打开电脑,驱动被成功隔离,IE成功打开默认MSN主页,系统恢复正常。
结论:Defender在ELAM设置正确的情况下,可正常清除此rootkit(甚至不需要脱机版的协助)【这是不是第三个在win10环境下能成功清除此rootkit的杀软(急救箱除外)?】
PS:此过程中我还发现之前重启清除提示的语法错误已被纠正


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

a27573
发表于 2021-7-3 22:11:54 | 显示全部楼层
ANY.LNK 发表于 2021-7-3 22:03
现在使用Defender进行快速扫描,立刻就发现了恶意驱动,点击执行操作,触发了强制关机。重新打开电脑,驱动 ...

ELAM配置为仅“好”的情况下,我觉得绝大部分认真支持了ELAM的杀软都能清除
但就怕这么搞哪天系统无法启动了
ANY.LNK
发表于 2021-7-3 22:17:36 | 显示全部楼层
a27573 发表于 2021-7-3 21:59
.sys VT 20/68
https://www.virustotal.com/gui/f ... 369778624/detection

Defender:两个都是入库杀
ANY.LNK
发表于 2021-7-3 22:24:32 | 显示全部楼层
a27573 发表于 2021-7-3 22:11
ELAM配置为仅“好”的情况下,我觉得绝大部分认真支持了ELAM的杀软都能清除
但就怕这么搞哪天系统无法启 ...

但不可否认的是,这样对于清除rootkit有奇效

此外,多数rootkit的设计会尽力避免让系统无法启动的设计,毕竟它们的任务是持久化维持,黑产团伙也指望它们谋取利益,如果让用户的电脑无法启动对他们来说没有一点好处
ANY.LNK
发表于 2021-7-3 22:26:58 | 显示全部楼层
a27573 发表于 2021-7-3 22:11
ELAM配置为仅“好”的情况下,我觉得绝大部分认真支持了ELAM的杀软都能清除
但就怕这么搞哪天系统无法启 ...

好像360系统急救箱也用的是同一种手段(ELAM配置为仅“好”)以清除rootkit的
a27573
发表于 2021-7-3 22:31:56 | 显示全部楼层
ANY.LNK 发表于 2021-7-3 22:24
但不可否认的是,这样对于清除rootkit有奇效

此外,多数rootkit的设计会尽力避免让系统无法启动的设计 ...

黑产团队尽量保证的是Rootkit随系统一起正常启动,而不是被杀掉(可能是以不正确的方式,比如只删了驱动却没删某些注册表)后系统仍然正常启动
a27573
发表于 2021-7-3 22:35:06 | 显示全部楼层
ANY.LNK 发表于 2021-7-3 22:17
Defender:两个都是入库杀

尽管没加壳,却还是无从下手


后面那超长的一串应该都是C++ template展开搞出来的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ANY.LNK
发表于 2021-7-3 22:41:10 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-7-3 22:43 编辑
a27573 发表于 2021-7-3 22:35
尽管没加壳,却还是无从下手

复杂度是挺高,但我印象里(不知道为什么,可能不准)记得这东西似乎是某APT搞出来的,记不清了,本意见仅当参考。如果不对,欢迎指正
ANY.LNK
发表于 2021-7-3 22:53:31 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-7-3 22:57 编辑
青山永恒 发表于 2021-7-3 22:42
win7没有ELAM,急救箱也能杀楼主测试那个样本。

win10的急救箱是能用ELAM查杀的,重启后的红色扫描强力模式就用到了ELAM,win7上的急救箱,按原作者wowocock的说法,急救箱用了比较猥琐的手段绕过了驱动的自我保护移除了此样本,而且当初360急救箱也不好过,不得不拼命更新自己的驱动以应付此系列样本越来越强的保护,不然也无法清除此样本(当初360急救箱是被针对的最严重的一个)。(当初360急救箱成为了唯一一个能在用户不手动变更系统或杀软设置下清除此驱动的工具)现在此驱动早已停止更新,而急救箱却又更新了许多代,在各个系统上都有测试,所以肯定有更多的手段在各个系统上查杀此样本(据说是用很“猥琐”的方式提升了自己驱动加载的优先级,再往后禁用掉所有的非系统驱动的加载)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:59 , Processed in 0.094509 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表