染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

a27573

.sys VT 20/68
https://www.virustotal.com/gui/f ... 369778624/detection

.exe还没人上传过（该不会是我没有彻底修好吧）
15/69
https://www.virustotal.com/gui/f ... 8d9386852/detection

对比原先的检出，说明对文件头的简单修改可以有效免杀
就是load时要处理一下

ANY.LNK

现在使用Defender进行快速扫描，立刻就发现了恶意驱动，点击执行操作，触发了强制关机。重新打开电脑，驱动被成功隔离，IE成功打开默认MSN主页，系统恢复正常。
结论：Defender在ELAM设置正确的情况下，可正常清除此rootkit（甚至不需要脱机版的协助）【这是不是第三个在win10环境下能成功清除此rootkit的杀软（急救箱除外）？】
PS：此过程中我还发现之前重启清除提示的语法错误已被纠正

a27573

ANY.LNK 发表于 2021-7-3 22:03
现在使用Defender进行快速扫描，立刻就发现了恶意驱动，点击执行操作，触发了强制关机。重新打开电脑，驱动 ...

ELAM配置为仅“好”的情况下，我觉得绝大部分认真支持了ELAM的杀软都能清除
但就怕这么搞哪天系统无法启动了

ANY.LNK

a27573 发表于 2021-7-3 21:59
.sys VT 20/68
https://www.virustotal.com/gui/f ... 369778624/detection

Defender：两个都是入库杀

ANY.LNK

a27573 发表于 2021-7-3 22:11
ELAM配置为仅“好”的情况下，我觉得绝大部分认真支持了ELAM的杀软都能清除
但就怕这么搞哪天系统无法启 ...

但不可否认的是，这样对于清除rootkit有奇效

此外，多数rootkit的设计会尽力避免让系统无法启动的设计，毕竟它们的任务是持久化维持，黑产团伙也指望它们谋取利益，如果让用户的电脑无法启动对他们来说没有一点好处

ANY.LNK

a27573 发表于 2021-7-3 22:11
ELAM配置为仅“好”的情况下，我觉得绝大部分认真支持了ELAM的杀软都能清除
但就怕这么搞哪天系统无法启 ...

好像360系统急救箱也用的是同一种手段（ELAM配置为仅“好”）以清除rootkit的

a27573

ANY.LNK 发表于 2021-7-3 22:24
但不可否认的是，这样对于清除rootkit有奇效

此外，多数rootkit的设计会尽力避免让系统无法启动的设计 ...

黑产团队尽量保证的是Rootkit随系统一起正常启动，而不是被杀掉（可能是以不正确的方式，比如只删了驱动却没删某些注册表）后系统仍然正常启动

a27573

ANY.LNK 发表于 2021-7-3 22:17
Defender：两个都是入库杀

尽管没加壳，却还是无从下手


后面那超长的一串应该都是C++ template展开搞出来的

ANY.LNK

a27573 发表于 2021-7-3 22:35
尽管没加壳，却还是无从下手

复杂度是挺高，但我印象里（不知道为什么，可能不准）记得这东西似乎是某APT搞出来的，记不清了，本意见仅当参考。如果不对，欢迎指正

ANY.LNK

青山永恒 发表于 2021-7-3 22:42
win7没有ELAM，急救箱也能杀楼主测试那个样本。

win10的急救箱是能用ELAM查杀的，重启后的红色扫描强力模式就用到了ELAM，win7上的急救箱，按原作者wowocock的说法，急救箱用了比较猥琐的手段绕过了驱动的自我保护移除了此样本，而且当初360急救箱也不好过，不得不拼命更新自己的驱动以应付此系列样本越来越强的保护，不然也无法清除此样本（当初360急救箱是被针对的最严重的一个）。（当初360急救箱成为了唯一一个能在用户不手动变更系统或杀软设置下清除此驱动的工具）现在此驱动早已停止更新，而急救箱却又更新了许多代，在各个系统上都有测试，所以肯定有更多的手段在各个系统上查杀此样本（据说是用很“猥琐”的方式提升了自己驱动加载的优先级，再往后禁用掉所有的非系统驱动的加载）