染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

ANY.LNK

青山永恒 发表于 2021-7-3 23:01
也就是说，急救箱在win7用特殊方法实现类ELAM，可以停掉不安全驱动的加载。

嗯，应该是这样的，但无法完全做到像真正的ELAM的完全的功能，其功能仍会受限于win7的系统，估计是像DsArk(64).sys这样的驱动加载顺序位置，而楼主的这个样本加载是在fltmgr.sys之后

ANY.LNK

a27573 发表于 2021-7-3 21:59
.sys VT 20/68
https://www.virustotal.com/gui/f ... 369778624/detection

文件头修改有一定概率可以免杀，之前有人用jpg png这样文件格式的文件头换掉exe原样本的样本头，结果免杀效果并不理想（主流杀软还是杀了）

tdsskiller

ANY.LNK 发表于 2021-7-3 22:53
win10的急救箱是能用ELAM查杀的，重启后的红色扫描强力模式就用到了ELAM，win7上的急救箱，按原作者wowoc ...

被针对的往往是最惨的，针对WD的是老外才有的，没有公开过，只给了效果图，在内核隔离+Secureboot下让WD加载恶意驱动(只需要有签名，黑签名也可以)
当代持久化估计都不太行了，那帮人都做挂去了，挂壁讲究针对和稳定，不持久化在机器上，所以现在也没有什么对付这些专杀的rootkit了，倒是挂逼挺强的，什么劫持火绒的，劫持malwarebyte的，貌似还有利用卡巴虚拟化驱动的（老外公布），白利用腾讯的，阴间N倍（居然都是国人出品，老外到都是公布源码没有看到什么实际上非常强大的样本），看到老时代的rootkit感觉已经没有那种让人眼前一亮的惊喜了

a27573

ANY.LNK 发表于 2021-7-3 23:17
文件头修改有一定概率可以免杀，之前有人用jpg png这样文件格式的文件头换掉exe原样本的样本头，结果免杀 ...

对于入库并且特征码不是从文件头提取的情况确实不能免杀
但能够骗过很多杀软对文件格式的判断，这样某些检测手段就不会被使用（比如启发式）
不能直接执行，也可以使依赖模拟执行的文件自动上传分析和动态启发式失效（比如ESET）

a27573

那个wiiidpredrv.sys相对简单，可惜我不太懂Windows驱动开发

只有这里还算是看得懂（我把功能写在注释里了）

DriverEntry里调用它判断EXPLORER进程是否存在，存在就注册mini filter


前面还有注册进程创建/结束通知的，那个才是重头戏，可惜我看不懂

ANY.LNK

tdsskiller 发表于 2021-7-3 23:19
被针对的往往是最惨的，针对WD的是老外才有的，没有公开过，只给了效果图，在内核隔离+Secureboot下让WD ...

所以，只有常人想不到的，没有挖洞手攻不破的。如今rootkit越来越难做的情况下，这些黑产用上什么都不足为奇了。此外，在这几个测试的过程中我注意到微软的几个驱动与核心组件MsMpEng间的通讯的问题，WdBoot.sys阻止了可疑/恶意驱动的加载，但似乎并没有将阻止驱动的相关详细信息传递给其他组件，以至于开机后仍需手动扫描才能发现恶意驱动，而WdFilter.sys也并没有在系统启动加载时将在其后加载的驱动的详细真实信息回馈给MsMpEng，仍需手动扫描才能发现rootkit（能发现说明仍有手段读取驱动真实信息，但在系统启动过程中加载恶意驱动时却不报毒）这个问题希望微软能够改善吧

00006666

tdsskiller 发表于 2021-7-2 22:59
楼主可以测试一下这个rootkit，强度也是有点大的，吊打tdsskiller和windows清理助手

体验一下malw ...

请问此rootkit的清除标准是什么，刚才在win7 测试360急救箱，经过四次扫描后，PCH可以正常开启，能不能算是清除成功？

ANY.LNK

a27573 发表于 2021-7-3 23:38
那个wiiidpredrv.sys相对简单，可惜我不太懂Windows驱动开发

只有这里还算是看得懂（我把功能写在 ...

前面那个进程注册应该是以隐藏进程的模式启动还原文件头的exe（可能是内核fileless加载），并且阻止某些工具的启动并在各类其他工具和杀软中隐藏自身被读取识别（通知关闭如TDSSKiller或PCHunter之类的工具），后面的minifilter估计就是内核拦截对恶意文件的读写的，该filter我在cmd fltmc输出的结果中看到，就是Pci<xxxx>.sys的那个，被Defender首先识别出来的也是这个。

PS：我其实也不懂内核技术，这种东西如果实在看不懂、分析不明白的就交给其他的专业人士来分析吧（比如宮水_五葉或吾爱破解上的专家）

tdsskiller

00006666 发表于 2021-7-3 23:56
请问此rootkit的清除标准是什么，刚才在win7 测试360急救箱，经过四次扫描后，PCH可以正常开启，能不能算 ...

这个rootkit活动时PCH和TDSSKILLER都是无法正常工作的，最好确认方法就是用火绒剑，看System模块里面有没有三个随机名驱动

ANY.LNK

00006666 发表于 2021-7-3 23:56
请问此rootkit的清除标准是什么，刚才在win7 测试360急救箱，经过四次扫描后，PCH可以正常开启，能不能算 ...

可以算是清除成功了吧（根据tdsskiller的描述），能开启pch或TDSSkiller能加载驱动正常扫描就可以算是成功了（不过还是检查一下有没有残留的隐藏进程为好）