楼主: 00006666
收起左侧

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗?

  [复制链接]
ANY.LNK
发表于 2021-7-3 23:09:17 | 显示全部楼层
青山永恒 发表于 2021-7-3 23:01
也就是说,急救箱在win7用特殊方法实现类ELAM,可以停掉不安全驱动的加载。

嗯,应该是这样的,但无法完全做到像真正的ELAM的完全的功能,其功能仍会受限于win7的系统,估计是像DsArk(64).sys这样的驱动加载顺序位置,而楼主的这个样本加载是在fltmgr.sys之后
ANY.LNK
发表于 2021-7-3 23:17:28 | 显示全部楼层
a27573 发表于 2021-7-3 21:59
.sys VT 20/68
https://www.virustotal.com/gui/f ... 369778624/detection

文件头修改有一定概率可以免杀,之前有人用jpg png这样文件格式的文件头换掉exe原样本的样本头,结果免杀效果并不理想(主流杀软还是杀了)
tdsskiller
发表于 2021-7-3 23:19:12 | 显示全部楼层
本帖最后由 tdsskiller 于 2021-7-3 23:24 编辑
ANY.LNK 发表于 2021-7-3 22:53
win10的急救箱是能用ELAM查杀的,重启后的红色扫描强力模式就用到了ELAM,win7上的急救箱,按原作者wowoc ...

被针对的往往是最惨的,针对WD的是老外才有的,没有公开过,只给了效果图,在内核隔离+Secureboot下让WD加载恶意驱动(只需要有签名,黑签名也可以)
当代持久化估计都不太行了,那帮人都做挂去了,挂壁讲究针对和稳定,不持久化在机器上,所以现在也没有什么对付这些专杀的rootkit了,倒是挂逼挺强的,什么劫持火绒的,劫持malwarebyte的,貌似还有利用卡巴虚拟化驱动的(老外公布),白利用腾讯的,阴间N倍(居然都是国人出品,老外到都是公布源码没有看到什么实际上非常强大的样本),看到老时代的rootkit感觉已经没有那种让人眼前一亮的惊喜了



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a27573
发表于 2021-7-3 23:24:01 | 显示全部楼层
本帖最后由 a27573 于 2021-7-3 23:26 编辑
ANY.LNK 发表于 2021-7-3 23:17
文件头修改有一定概率可以免杀,之前有人用jpg png这样文件格式的文件头换掉exe原样本的样本头,结果免杀 ...

对于入库并且特征码不是从文件头提取的情况确实不能免杀
但能够骗过很多杀软对文件格式的判断,这样某些检测手段就不会被使用(比如启发式)
不能直接执行,也可以使依赖模拟执行的文件自动上传分析和动态启发式失效(比如ESET)
a27573
发表于 2021-7-3 23:38:12 | 显示全部楼层
本帖最后由 a27573 于 2021-7-3 23:43 编辑

那个wiiidpredrv.sys相对简单,可惜我不太懂Windows驱动开发

只有这里还算是看得懂(我把功能写在注释里了)

DriverEntry里调用它判断EXPLORER进程是否存在,存在就注册mini filter


前面还有注册进程创建/结束通知的,那个才是重头戏,可惜我看不懂

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ANY.LNK
发表于 2021-7-3 23:49:53 | 显示全部楼层
tdsskiller 发表于 2021-7-3 23:19
被针对的往往是最惨的,针对WD的是老外才有的,没有公开过,只给了效果图,在内核隔离+Secureboot下让WD ...

所以,只有常人想不到的,没有挖洞手攻不破的。如今rootkit越来越难做的情况下,这些黑产用上什么都不足为奇了。此外,在这几个测试的过程中我注意到微软的几个驱动与核心组件MsMpEng间的通讯的问题,WdBoot.sys阻止了可疑/恶意驱动的加载,但似乎并没有将阻止驱动的相关详细信息传递给其他组件,以至于开机后仍需手动扫描才能发现恶意驱动,而WdFilter.sys也并没有在系统启动加载时将在其后加载的驱动的详细真实信息回馈给MsMpEng,仍需手动扫描才能发现rootkit(能发现说明仍有手段读取驱动真实信息,但在系统启动过程中加载恶意驱动时却不报毒)这个问题希望微软能够改善吧
00006666
 楼主| 发表于 2021-7-3 23:56:30 | 显示全部楼层
tdsskiller 发表于 2021-7-2 22:59
楼主可以测试一下这个rootkit,强度也是有点大的,吊打tdsskiller和windows清理助手

体验一下malw ...

请问此rootkit的清除标准是什么,刚才在win7 测试360急救箱,经过四次扫描后,PCH可以正常开启,能不能算是清除成功?










本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ANY.LNK
发表于 2021-7-4 00:01:42 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-7-4 01:44 编辑
a27573 发表于 2021-7-3 23:38
那个wiiidpredrv.sys相对简单,可惜我不太懂Windows驱动开发

只有这里还算是看得懂(我把功能写在 ...

前面那个进程注册应该是以隐藏进程的模式启动还原文件头的exe(可能是内核fileless加载),并且阻止某些工具的启动并在各类其他工具和杀软中隐藏自身被读取识别(通知关闭如TDSSKiller或PCHunter之类的工具),后面的minifilter估计就是内核拦截对恶意文件的读写的,该filter我在cmd fltmc输出的结果中看到,就是Pci<xxxx>.sys的那个,被Defender首先识别出来的也是这个。

PS:我其实也不懂内核技术,这种东西如果实在看不懂、分析不明白的就交给其他的专业人士来分析吧(比如宮水_五葉或吾爱破解上的专家)
tdsskiller
发表于 2021-7-4 00:03:55 | 显示全部楼层
本帖最后由 tdsskiller 于 2021-7-4 00:05 编辑
00006666 发表于 2021-7-3 23:56
请问此rootkit的清除标准是什么,刚才在win7 测试360急救箱,经过四次扫描后,PCH可以正常开启,能不能算 ...

这个rootkit活动时PCH和TDSSKILLER都是无法正常工作的,最好确认方法就是用火绒剑,看System模块里面有没有三个随机名驱动
ANY.LNK
发表于 2021-7-4 00:05:06 | 显示全部楼层
00006666 发表于 2021-7-3 23:56
请问此rootkit的清除标准是什么,刚才在win7 测试360急救箱,经过四次扫描后,PCH可以正常开启,能不能算 ...

可以算是清除成功了吧(根据tdsskiller的描述),能开启pch或TDSSkiller能加载驱动正常扫描就可以算是成功了(不过还是检查一下有没有残留的隐藏进程为好)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 10:42 , Processed in 0.116393 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表