染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

00006666

tdsskiller 发表于 2021-7-4 00:03
这个rootkit活动时PCH和TDSSKILLER都是无法正常工作的，最好确认方法就是用火绒剑，看System模块里面有没 ...

随机名驱动大概的名字是怎么样的？

这是我在虚拟机里面运行样本后（测试tdsskiller已经不能运行），使用pyark检查的结果，没看出来哪个是样本驱动。

ANY.LNK

tdsskiller 发表于 2021-7-4 00:03
这个rootkit活动时PCH和TDSSKILLER都是无法正常工作的，最好确认方法就是用火绒剑，看System模块里面有没 ...

未发现可疑驱动，这个rootkit似乎不会劫持访问。但最好说一下，不然许多系统驱动看起来也像随机名驱动

tdsskiller

00006666 发表于 2021-7-4 00:19
随机名驱动大概的名字是怎么样的？

这是我在虚拟机里面运行样本后（测试tdsskiller已经不能运行），使 ...

cghehkor.sys
ycfilp.sys和下面那个随机名
cg这个启动顺序很早的应该是母体驱动
exe看看进程，也是随机名，隐藏进程不针对一般过不了ARK

tdsskiller

ANY.LNK 发表于 2021-7-3 23:49
所以，只有常人想不到的，没有挖洞手攻不破的。如今rootkit越来越难做的情况下，这些黑产用上什么都不足 ...

WdBoot.sys不知道是不是那个老外在这个驱动下了什么招数

当年隐魂bootkit也玩过WD不过是另外一个驱动，MRT的

ANY.LNK

00006666 发表于 2021-7-4 00:19
随机名驱动大概的名字是怎么样的？

这是我在虚拟机里面运行样本后（测试tdsskiller已经不能运行），使 ...

名称是pci<四个随机字母>.sys，注意不是pciidex.sys，这个是正常系统驱动，但我印象里这几个驱动应该都是隐藏状态，我用火绒剑和processhacker都没有发现，直至我用Defender扫描才发现。pci那个驱动是在drivers目录下的，另有两个驱动在System32下的一个随机命名文件夹内，不在drivers目录下，这几个特点应该比较好寻找

tdsskiller

ANY.LNK 发表于 2021-7-4 00:23
未发现可疑驱动，这个rootkit似乎不会劫持访问。但最好说一下，不然许多系统驱动看起来也像随机名驱动

错，正常干净系统除了hyperV和MRT驱动你不会看到随机名驱动

除非你的测试机器和一个正常机器一样，N个硬件的驱动，N个第三方驱动，误判可能性大点

这种VM机器干净测试系统看ROOTKIT只要不是阴间都能很快找到

00006666

tdsskiller 发表于 2021-7-4 00:27
cghehkor.sys
ycfilp.sys和下面那个随机名
cg这个启动顺序很早的应该是母体驱动

pyark可以在样本运行的染毒环境正常工作。


杀软清除后如果PCH可以运行的话，一般都是清除成功的吧？，毕竟找随机名驱动有点困难

tdsskiller

00006666 发表于 2021-7-4 00:33
pyark可以在样本运行的染毒环境正常工作。

所以要多支持大佬出新的ARK，老的ARK被针对烂甚至都能白利用了

gmer白利用（服务器梦魇），pch白利用（挂逼YYDS），powertool白利用（隐魂Bootkit）

tdsskiller

ANY.LNK 发表于 2021-7-4 00:31
名称是pci.sys，注意不是pciidex.sys，这个是正常系统驱动，但我印象里这几个驱动应该都是隐藏状态，我用 ...

不是的，这个完全随机名，只要有新主页保安--变速大师才是系统驱动加字母。。。

tdsskiller

00006666 发表于 2021-7-4 00:33
pyark可以在样本运行的染毒环境正常工作。

再用360急救箱扫两次
记得不要误判急救箱强力模式驱动，急救箱强力模式驱动为5-6位随机名驱动外加劫持（wdf01000还有ntfs劫持）

对，急救箱会劫持系统驱动，我怀疑是后期那些变态传奇私-Furootkit的锅