楼主: 00006666
收起左侧

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗?

  [复制链接]
00006666
 楼主| 发表于 2021-7-4 00:19:17 | 显示全部楼层
本帖最后由 00006666 于 2021-7-4 00:21 编辑
tdsskiller 发表于 2021-7-4 00:03
这个rootkit活动时PCH和TDSSKILLER都是无法正常工作的,最好确认方法就是用火绒剑,看System模块里面有没 ...

随机名驱动大概的名字是怎么样的?

这是我在虚拟机里面运行样本后(测试tdsskiller已经不能运行),使用pyark检查的结果,没看出来哪个是样本驱动。










本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ANY.LNK
发表于 2021-7-4 00:23:21 | 显示全部楼层
tdsskiller 发表于 2021-7-4 00:03
这个rootkit活动时PCH和TDSSKILLER都是无法正常工作的,最好确认方法就是用火绒剑,看System模块里面有没 ...

未发现可疑驱动,这个rootkit似乎不会劫持访问。但最好说一下,不然许多系统驱动看起来也像随机名驱动
tdsskiller
发表于 2021-7-4 00:27:03 | 显示全部楼层
00006666 发表于 2021-7-4 00:19
随机名驱动大概的名字是怎么样的?

这是我在虚拟机里面运行样本后(测试tdsskiller已经不能运行),使 ...

cghehkor.sys
ycfilp.sys和下面那个随机名
cg这个启动顺序很早的应该是母体驱动
exe看看进程,也是随机名,隐藏进程不针对一般过不了ARK

评分

参与人数 1分享 +3 收起 理由
屁颠屁颠 + 3 感谢提供分享

查看全部评分

tdsskiller
发表于 2021-7-4 00:29:55 | 显示全部楼层
ANY.LNK 发表于 2021-7-3 23:49
所以,只有常人想不到的,没有挖洞手攻不破的。如今rootkit越来越难做的情况下,这些黑产用上什么都不足 ...

WdBoot.sys不知道是不是那个老外在这个驱动下了什么招数

当年隐魂bootkit也玩过WD不过是另外一个驱动,MRT的
ANY.LNK
发表于 2021-7-4 00:31:20 | 显示全部楼层
00006666 发表于 2021-7-4 00:19
随机名驱动大概的名字是怎么样的?

这是我在虚拟机里面运行样本后(测试tdsskiller已经不能运行),使 ...

名称是pci<四个随机字母>.sys,注意不是pciidex.sys,这个是正常系统驱动,但我印象里这几个驱动应该都是隐藏状态,我用火绒剑和processhacker都没有发现,直至我用Defender扫描才发现。pci那个驱动是在drivers目录下的,另有两个驱动在System32下的一个随机命名文件夹内,不在drivers目录下,这几个特点应该比较好寻找
tdsskiller
发表于 2021-7-4 00:32:25 | 显示全部楼层
ANY.LNK 发表于 2021-7-4 00:23
未发现可疑驱动,这个rootkit似乎不会劫持访问。但最好说一下,不然许多系统驱动看起来也像随机名驱动

错,正常干净系统除了hyperV和MRT驱动你不会看到随机名驱动

除非你的测试机器和一个正常机器一样,N个硬件的驱动,N个第三方驱动,误判可能性大点

这种VM机器干净测试系统看ROOTKIT只要不是阴间都能很快找到
00006666
 楼主| 发表于 2021-7-4 00:33:20 | 显示全部楼层
tdsskiller 发表于 2021-7-4 00:27
cghehkor.sys
ycfilp.sys和下面那个随机名
cg这个启动顺序很早的应该是母体驱动

pyark可以在样本运行的染毒环境正常工作。


杀软清除后如果PCH可以运行的话,一般都是清除成功的吧?,毕竟找随机名驱动有点困难
tdsskiller
发表于 2021-7-4 00:35:35 | 显示全部楼层
00006666 发表于 2021-7-4 00:33
pyark可以在样本运行的染毒环境正常工作。

所以要多支持大佬出新的ARK,老的ARK被针对烂甚至都能白利用了

gmer白利用(服务器梦魇),pch白利用(挂逼YYDS),powertool白利用(隐魂Bootkit)
tdsskiller
发表于 2021-7-4 00:37:35 | 显示全部楼层
ANY.LNK 发表于 2021-7-4 00:31
名称是pci.sys,注意不是pciidex.sys,这个是正常系统驱动,但我印象里这几个驱动应该都是隐藏状态,我用 ...

不是的,这个完全随机名,只要有新主页保安--变速大师才是系统驱动加字母。。。
tdsskiller
发表于 2021-7-4 00:37:55 | 显示全部楼层
本帖最后由 tdsskiller 于 2021-7-4 00:41 编辑
00006666 发表于 2021-7-4 00:33
pyark可以在样本运行的染毒环境正常工作。

再用360急救箱扫两次
记得不要误判急救箱强力模式驱动,急救箱强力模式驱动为5-6位随机名驱动外加劫持(wdf01000还有ntfs劫持)

对,急救箱会劫持系统驱动,我怀疑是后期那些变态传奇私-Furootkit的锅
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 00:31 , Processed in 0.099831 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表