染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

ANY.LNK

SHA-1驱动签名不是很早就放弃了吗，win10 1607版本开始必须获得 Windows 硬件开发者中心的数字签名才能在系统中运行，要有EV代码签名证书,2021新实行了更新的签名政策，不再信任第三方CA
https://docs.microsoft.com/en-us ... elease-certificates
https://docs.microsoft.com/en-us ... ibu2xiaac3rivptwb0064位系统
（win7签名验证很简陋，各种证书有就能加载，包括自签名和实验签名都可以通过一定手段加载）
PG主要内容是不定时检查IDT GDT LDT表和一些其他的关键HOOK点有没有被篡改（查到改了的就BSOD），此机制在win10上更加严格，独狼系列和MLXG系列rootkit还有某个版本迅雷的驱动XLGuard.sys就会触发（都有证书），DG是防止高安全性进程（包括内核）被插入恶意代码（微软说的），需要较高的硬件支持及虚拟化，而且之前有帖子说这样能废掉绝大多数rootkit内核对抗的能力（不记得是哪一帖了，只记得当时楼主问的就是这个问题，并且得到了“有一定作用”这样的回答）

wsasecy

  360系统急救箱，结果：成功...掌声？感觉连脚声都有了

henry217

PanzerVIIIMaus 发表于 2021-6-28 21:56
急救盘应该是没有问题，这款病毒的底牌不多，急救盘显然已经是不对称打击了

打击完毕

敌方全军覆没

ANY.LNK

wsasecy 发表于 2021-6-28 23:11
360系统急救箱，结果：成功...掌声？感觉连脚声都有了

360系统急救箱早在该rootkit最初发布的帖子里就已经被系统急救箱的作者证明能杀了。急救箱的作者还为此专门做了对抗以应对该rootkit不断更新的对抗措施。如今都过去3年了，该rootkit应该早就停止更新了（不过该rootkit团队似乎出了新产品“变速大师”系列，据说对抗一样的恶心，但不搞主页劫持了，而且据说可以像正常软件一样卸载）

a27573

00006666 发表于 2021-6-28 10:15
WIN10环境就要另说了，这个样本好像只支持64位WIN7。

其实我想测一下win10 ESET，可惜现在没时间

a27573

henry217 发表于 2021-6-28 21:52
我来测试一下KRD （卡巴斯基应急磁盘） 成功

PE能杀太正常了

henry217

a27573 发表于 2021-6-28 23:47
PE能杀太正常了

这是虚拟机，所以能在急救盘里联网

我的实机网卡他识别不出来

aboringman

henry217 发表于 2021-6-28 23:11
打击完毕

敌方全军覆没

Win7咕咕鸽？（不过我想结局都应该很美好）

henry217

aboringman 发表于 2021-6-28 23:48
Win7咕咕鸽？（不过我想结局都应该很美好）

win7 不大行了

win8还接近那么一点实际

ANY.LNK

PanzerVIIIMaus 发表于 2021-6-28 22:23
使用Microsoft System Center Endpoint Protection 4.10【一般认为SCEP除数小时的病毒库延迟外，与普通版本 ...

感谢回复与测试