“安全者”病毒样本

显示全部楼层 · 发表于 2021-12-4 23:46:49

本帖最后由 00006666 于 2021-12-4 23:50 编辑

a27573 发表于 2021-12-4 23:45
我找到了检测360的代码，但没看到结束360的代码，估计就是因为晶核

火绒的hipsmain.exe本来也不能关的，只能关hipstray.exe

显示全部楼层 · 发表于 2021-12-4 23:50:49

00006666 发表于 2021-12-4 23:46
火绒的hipsmain.exe本来也不能关的，只能关hipstray.exe

没试过

不过这个样本会关HipsMain的窗口（不知道这玩意有没有窗口？）

显示全部楼层 · 发表于 2021-12-4 23:52:13

本帖最后由 00006666 于 2021-12-4 23:55 编辑

a27573 发表于 2021-12-4 23:50
没试过

不过这个样本会关HipsMain的窗口（不知道这玩意有没有窗口？）

我记得hipsmain.exe好像是个服务进程，类似360的zhudongfangyu.exe(可能记错了，如果是服务进程就不能关的。)

显示全部楼层 · 发表于 2021-12-4 23:57:16

本帖最后由 a27573 于 2021-12-4 23:59 编辑

00006666 发表于 2021-12-4 23:46
火绒的hipsmain.exe本来也不能关的，只能关hipstray.exe

话说火绒是用什么方法防的？我记得它没有VT吧？

显示全部楼层 · 发表于 2021-12-5 00:01:37

本帖最后由 00006666 于 2021-12-5 00:03 编辑

a27573 发表于 2021-12-4 23:57
话说火绒是用什么方法防的？我记得它没有VT吧？

如果是服务进程，本身就免疫这类的。

普通的进程除了VT，也可以用InfinityHook，目前这种方式支持win11 64位系统，不会触发PG。

https://bbs.kafan.cn/forum.php?m ... 230&fromuid=1245210

显示全部楼层 · 发表于 2021-12-5 00:05:45

00006666 发表于 2021-12-5 00:01
如果是服务进程，本身就免疫这类的。

普通的进程除了VT，也可以用InfinityHook，目前这种方式支持win1 ...

InfinityHook有不止一种方式，旧的已经被封了，新的不清楚
https://bbs.kafan.cn/thread-2211496-1-1.html

应该还有更新的

显示全部楼层 · 发表于 2021-12-5 00:08:01

本帖最后由 00006666 于 2021-12-5 00:22 编辑

a27573 发表于 2021-12-5 00:05
InfinityHook有不止一种方式，旧的已经被封了，新的不清楚
https://bbs.kafan.cn/thread-2211496-1-1.ht ...

应该有新的，可以去问一下wowocock

显示全部楼层 · 发表于 2021-12-5 00:17:55

本帖最后由 00006666 于 2021-12-5 00:20 编辑

a27573 发表于 2021-12-4 23:57
话说火绒是用什么方法防的？我记得它没有VT吧？

可能有一些其他的方法过PG HOOK SSDT，来实现防止打开进程。

显示全部楼层 · 发表于 2021-12-5 00:23:57

rising miss

显示全部楼层 · 发表于 2021-12-5 00:33:38

本帖最后由 a27573 于 2021-12-5 01:03 编辑

00006666 发表于 2021-12-5 00:01
如果是服务进程，本身就免疫这类的。

普通的进程除了VT，也可以用InfinityHook，目前这种方式支持win1 ...

服务进程免疫应该是因为没有消息循环

我明白了，只要对消息循环做特殊处理就行了（接到WM_QUIT、WM_CLOSE、WM_DESTROY的时候不要退出）

不过因为更新需要，杀软需要自定义一个退出的信号，这个信号可能会被逆向出来，后面三个消息的作用应该就是这个（刚才没仔细看）

[病毒样本] “安全者”病毒 样本