染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

ANY.LNK

a27573 发表于 2021-7-11 21:03
ESET 14.2.19
Windows LTSC 2019 17763.2028

那个由组策略配置的ELAM不确定是否适用于所有的安软，有的安软可能不使用组策略配置而使用它们自己的独立配置

ck698

谢谢分析，长知识了

a27573

ANY.LNK 发表于 2021-7-3 21:45
继续之前的Microsoft Defender对楼主样本的测试……换了VMware虚拟机

将组策略中“提前启动的反恶意软件 ...

为了整理信息翻回来看了一下
突然想到

你在VMware上测试了默认ELAM策略时的情况吗？
感觉Windows在开启安全启动的Hyper-V上的驱动签名策略好像有问题，也许阻止驱动加载的关键是VMware+安全启动而不是ELAM？

ANY.LNK

a27573 发表于 2021-7-12 23:38
为了整理信息翻回来看了一下
突然想到

我不记得我有没有测过默认ELAM时的状况了，只记得自己是在感染后改的ELAM配置。我一会儿调成默认设置再看看

ANY.LNK

a27573 发表于 2021-7-12 23:38
为了整理信息翻回来看了一下
突然想到

此楼用于回复@a27573的疑问

此时已关闭VMware安全启动，ELAM配置为“仅‘好’”



安装rootkit后重启扫描，能够扫描到恶意驱动


隔离最后提示重启，重启时关机，再度开机后驱动被成功隔离清除，主页恢复正常，系统恢复正常，恶意驱动及其filter被成功清除


结论：阻止驱动加载的关键是ELAM

困死了，折腾这么久总算测完了，去睡觉

ANY.LNK

a27573 发表于 2021-7-12 23:38
为了整理信息翻回来看了一下
突然想到

抱歉没有配置ELAM，组策略操作起来不方便，虚拟机系统比较卡，不灵敏容易点错还要多重启几次，所以用了安全启动配置

a27573

ANY.LNK 发表于 2021-7-13 01:22
此楼用于回复@a27573的疑问

此时已关闭VMware安全启动，ELAM配置为“仅‘好’”

非常感谢
这样我就可以去ESET官方那里反馈了（用WD作为对比）
等我人气恢复了给你加上

ANY.LNK

a27573 发表于 2021-7-13 09:32
非常感谢
这样我就可以去ESET官方那里反馈了（用WD作为对比）
等我人气恢复了给你加上

好的，感谢

a27573

a27573 发表于 2021-7-11 23:56
估计是挂了（以管理员身份扫描，ELAM默认设置）

更新：完整扫描有了




确实扫不出来
C盘引导区和rootkit驱动都无法读取

不知道ESET的反隐藏组件在干什么。。。

oooenooo

没有名字ssss 发表于 2021-6-28 12:25
还真不如平常做好备份，出问题直接重装

我想知道你到底是如何备份的