楼主: 00006666
收起左侧

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗?

  [复制链接]
a27573
发表于 2021-6-29 00:01:17 | 显示全部楼层
ANY.LNK 发表于 2021-6-28 21:31
这是个驱动,只能加载进内核运行,直接双击运行不了
win10不是只有带微软证书的驱动才能进内核吗?其他的 ...

他们在这里赚的钱足够买微软签名了,他们也有足够的技术避开微软检测
至于ELAM,为了性能考虑,这种东西平时都不起效的,应该只有高级清除之类的时候用,但这个Rootkit用了强制断电来对抗高级清除
InnoriaAlter
头像被屏蔽
发表于 2021-6-29 00:02:29 | 显示全部楼层
a27573 发表于 2021-6-28 23:45
其实我想测一下win10 ESET,可惜现在没时间

我估摸可能失败 毕竟修复真的不行
a27573
发表于 2021-6-29 00:08:43 | 显示全部楼层
InnoriaAlter 发表于 2021-6-29 00:02
我估摸可能失败 毕竟修复真的不行

有win10的加持,结果还真不一定
a27573
发表于 2021-6-29 00:10:30 | 显示全部楼层
ANY.LNK 发表于 2021-6-28 23:02
SHA-1驱动签名不是很早就放弃了吗,win10 1607版本开始必须获得 Windows 硬件开发者中心的数字签名才能在系 ...

PG可以绕过,这里大概没有人是开DG测的(虚拟机里应该开不了),甚至安全启动都不一定开了
ANY.LNK
发表于 2021-6-29 00:10:53 | 显示全部楼层
a27573 发表于 2021-6-29 00:01
他们在这里赚的钱足够买微软签名了,他们也有足够的技术避开微软检测
至于ELAM,为了性能考虑,这种东西 ...

但没看见他们买微软签名,微软的签名需要审查才能过才会有发布(虽然有netfilter rootkit,不过微软应该能吸取教训吧),并不是只要有钱就可以。不然现在早就WHQLrootkit驱动烂大街了。这家伙的动作太大,过不了微软核实检测的
InnoriaAlter
头像被屏蔽
发表于 2021-6-29 00:11:27 | 显示全部楼层
本帖最后由 InnoriaAlter 于 2021-6-29 00:17 编辑
a27573 发表于 2021-6-29 00:08
有win10的加持,结果还真不一定

但愿如此吧...如果样本可以成功清理...
ANY.LNK
发表于 2021-6-29 00:15:47 | 显示全部楼层
InnoriaAlter 发表于 2021-6-29 00:11
但愿如此吧...不过清理以后估计还得手动把主页切回去hhhh

应该不需要手动改回去吧,没有驱动的启动参数劫持,浏览器应该会按用户的设置运行才对
InnoriaAlter
头像被屏蔽
发表于 2021-6-29 00:16:53 | 显示全部楼层
ANY.LNK 发表于 2021-6-29 00:15
应该不需要手动改回去吧,没有驱动的启动参数劫持,浏览器应该会按用户的设置运行才对

嗯嗯,这个还真不了解,谢谢解答
a27573
发表于 2021-6-29 00:21:58 | 显示全部楼层
本帖最后由 a27573 于 2021-6-29 00:26 编辑
ANY.LNK 发表于 2021-6-29 00:10
但没看见他们买微软签名,微软的签名需要审查才能过才会有发布(虽然有netfilter rootkit,不过微软应该 ...

看了一下,确实没有微软签名
但从Win10 1607开始才强制要求微软签名,而且符合以下条件的可以例外
https://docs.microsoft.com/en-us ... d-later-#exceptions

Exceptions

Cross-signed drivers are still permitted if any of the following are true:

    The PC was upgraded from an earlier release of Windows to Windows 10, version 1607.
    Secure Boot is off in the BIOS.
    Drivers was signed with an end-entity certificate issued prior to July 29th 2015 that chains to a supported cross-signed CA.

To prevent systems from failing to boot properly, boot drivers will not be blocked, but they will be removed by the Program Compatibility Assistant.

我不知道这里测试的人的系统版本,他们也很可能没开安全启动(目前虚拟机中我只知道Hyper-V支持安全启动,而且默认不开启)
ANY.LNK
发表于 2021-6-29 00:27:58 | 显示全部楼层
a27573 发表于 2021-6-29 00:10
PG可以绕过,这里大概没有人是开DG测的(虚拟机里应该开不了),甚至安全启动都不一定开了

win7的PG容易绕过,但对于win10的资料都很少。win10目前已知的有GhostHook(英特尔CPU有效)和https://gitee.com/thereason/ChangeSpeed/中的绕过方法,后者更有可能因为设计该rootkit的团伙目前就在经营着系统变速的服务。还有PG不受驱动签名限制,hook了不改hook的地方该蓝还是会蓝

评分

参与人数 1人气 +1 收起 理由
a27573 + 1 我知道不受驱动签名限制

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 04:27 , Processed in 0.093320 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表