rootkit

显示全部楼层 · 发表于 2022-1-13 16:42:09

安天
话说这个样本有什么行为吗？

显示全部楼层 · 发表于 2022-1-13 17:39:16

swizzer 发表于 2022-1-13 16:01
就算不加壳，机学也只能看到二进制数据，看不明白最本质的API序列

~~大不了再训练个模型专门针 ...~~

那要不直接学ESET，VMP看不出来一律杀杀杀，叫你加壳，我直接看都不看把你扬了

或者学MD，小文件加密直接当恶意程序，看不见没关系啊，我认为你有嫌疑你怎么说？

显示全部楼层 · 发表于 2022-1-13 17:42:58

隔山打空气发表于 2022-1-13 17:39
那要不直接学ESET，VMP看不出来一律杀杀杀，叫你加壳，我直接看都不看把你扬了

或者学MD，小文 ...

但是这个驱动，ESET没有报毒，挺奇怪的。

显示全部楼层 · 发表于 2022-1-13 17:45:08

00006666 发表于 2022-1-13 17:42
但是这个驱动，ESET没有报毒，挺奇怪的。

那我不知道了。。。不会是ESET根本不查sys的壳子吧。。。

BEST没报，如果加载到系统可能会ATC杀，但工作机器不敢。。。

显示全部楼层 · 发表于 2022-1-13 17:47:46

隔山打空气发表于 2022-1-13 17:45
那我不知道了。。。不会是ESET根本不查sys的壳子吧。。。

BEST没报，如果加载到系统可能会ATC杀，但工 ...

驱动加载起来就没有意义了

显示全部楼层 · 发表于 2022-1-13 17:49:52

00006666 发表于 2022-1-13 17:47
驱动加载起来就没有意义了

啊这，那如果加载过程中被杀呢，请问也算防住了吗？

未知的RKT是不是很难用静态特征杀？

显示全部楼层 · 发表于 2022-1-13 17:54:24

隔山打空气发表于 2022-1-13 17:49
啊这，那如果加载过程中被杀呢，请问也算防住了吗？

未知的RKT是不是很难用静态特征杀？

常规的加载方式是肯定会被拦截的，所以现在有出现一些特殊方式加载驱动。

加壳的这种确实很难特征查杀，不过其实看签名也能看出异常，除非是WHQL。

显示全部楼层 · 发表于 2022-1-13 17:58:15

00006666 发表于 2022-1-13 17:54
常规的加载方式是肯定会被拦截的，所以现在有出现一些特殊方式加载驱动。

加壳的这种确实很难特征查杀 ...

那请问WHQL就只能用HIPS往上怼或者后知后觉急救箱？

如果感染了Rootkit，主防会在它做出操作时拦截一些东西吗？用户如何得知自己是否感染...是不是很难

显示全部楼层 · 发表于 2022-1-13 18:03:37

奇安信
Win32/Trojan.e42

显示全部楼层 · 发表于 2022-1-13 18:04:27

隔山打空气发表于 2022-1-13 17:58
那请问WHQL就只能用HIPS往上怼或者后知后觉急救箱？

如果感染了Rootkit，主防会在它做出操作时拦截一 ...

驱动加载起来，主防基本就失效了

至于普通用户能不能发现，可以参考这个:https://bbs.kafan.cn/thread-2173045-1-1.html

[病毒样本] rootkit