Bootkit

显示全部楼层 · 发表于 2021-12-26 12:08:05

a27573 发表于 2021-12-26 11:44
加了，所有文件操作，目标所有
单独选写入文件和底层磁盘访问也试过

询问(或阻止) 目标文件信息通知用户
源文件所有写入到文件(也可以加删除和直接磁盘访问没有影响) 目标文件 \\.\Harddisk0\DR0

ESET的HIPS是拦不住的，HMPA也没拦住就很意外。

显示全部楼层 · 发表于 2021-12-26 12:16:48

netweb 发表于 2021-12-26 12:08
询问(或阻止) 目标文件信息通知用户
源文件所有写入到文件(也可以加删除和直接磁盘访问没有影响) 目 ...

也就是说目标不能全部文件

该不会是从过滤驱动返回的结果里排除了设备吧

显示全部楼层 · 发表于 2021-12-26 12:34:42

a27573 发表于 2021-12-26 12:16
也就是说目标不能全部文件

该不会是从过滤驱动返回的结果里排除了设备吧

目标可以是全部文件，我刚试了，弹窗点的好累

还有火绒是可以拦截的

显示全部楼层 · 发表于 2021-12-26 12:37:33

本帖最后由 a27573 于 2021-12-26 12:38 编辑

netweb 发表于 2021-12-26 12:34
目标可以是全部文件，我刚试了，弹窗点的好累

还有火绒是可以拦截的

那就奇怪了

我这边一个FD弹窗都没有

准备重装系统

显示全部楼层 · 发表于 2021-12-26 12:41:37

a27573 发表于 2021-12-26 12:37
那就奇怪了

我这边一个FD弹窗都没有

设成询问才有弹窗，右下弹窗需要打开通知用户,我的是智能模式

生如夏花之绚烂，死如秋叶之静美
2021/12/26 下午1:41:37
bye
From The Amazing Artifact：Netscape

显示全部楼层 · 发表于 2021-12-26 12:49:04

ParanoiaSeal 发表于 2021-12-26 10:25
火绒扫描病毒 / 右键病毒均无任何拦截，运行无弹窗，之后使用快速查杀发现引导区病毒

你火绒首次安装完没有重启2次，mbr防护没有生效，导致mbr被成功修改

重启2次火绒可以阻止mbr的修改，拦截防止mbr被破坏的，你可以去见43楼的

只能验证中了病毒之后mbr被成功修改之后火绒无法处理，但是mbr被成功修改之后别的其他的大部分杀软基本上也都是没辙的了，所以mbr都是防修改，修改之后除非用急救箱或者磁盘管理工具之类的，不然基本上没戏

显示全部楼层 · 发表于 2021-12-26 12:58:32

病毒样本收集者发表于 2021-12-26 08:52
我第一次测卡巴主防kill了，关ksn后再双击重启中招

昨天17：51的库断网主防能拦截啊

显示全部楼层 · 发表于 2021-12-26 12:58:44

netweb 发表于 2021-12-26 12:41
设成询问才有弹窗，右下弹窗需要打开通知用户,我的是智能模式

现在好了，确实能提示但拦不了

可能是因为更新之后要重启两遍才行

显示全部楼层 · 发表于 2021-12-26 13:04:51

a27573 发表于 2021-12-26 12:58
现在好了，确实能提示但拦不了

可能是因为更新之后要重启两遍才行

火绒需要重启两次，ESET不需要，重启多少次都拦不了。

显示全部楼层 · 发表于 2021-12-26 13:05:47

netweb 发表于 2021-12-26 13:04
火绒需要重启两次，ESET不需要，重启多少次都拦不了。

是我没说清楚

那个询问弹窗要重启才有（刚才重启虚拟机之后就好了）

[病毒样本] Bootkit

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源