搜索
楼主: 00006666
收起左侧

[病毒样本] rootkit

  [复制链接]
复负复
发表于 5 天前 | 显示全部楼层
安天
话说这个样本有什么行为吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
隔山打空气
发表于 5 天前 | 显示全部楼层
swizzer 发表于 2022-1-13 16:01
就算不加壳,机学也只能看到二进制数据,看不明白最本质的API序列

大不了再训练个模型专门针 ...

那要不直接学ESET,VMP看不出来一律杀杀杀,叫你加壳,我直接看都不看把你扬了

或者学MD,小文件加密直接当恶意程序,看不见没关系啊,我认为你有嫌疑你怎么说?
00006666
 楼主| 发表于 5 天前 | 显示全部楼层
隔山打空气 发表于 2022-1-13 17:39
那要不直接学ESET,VMP看不出来一律杀杀杀,叫你加壳,我直接看都不看把你扬了

或者学MD,小文 ...

但是这个驱动,ESET没有报毒,挺奇怪的。
隔山打空气
发表于 5 天前 | 显示全部楼层
00006666 发表于 2022-1-13 17:42
但是这个驱动,ESET没有报毒,挺奇怪的。

那我不知道了。。。不会是ESET根本不查sys的壳子吧。。。

BEST没报,如果加载到系统可能会ATC杀,但工作机器不敢。。。
00006666
 楼主| 发表于 5 天前 | 显示全部楼层
隔山打空气 发表于 2022-1-13 17:45
那我不知道了。。。不会是ESET根本不查sys的壳子吧。。。

BEST没报,如果加载到系统可能会ATC杀,但工 ...

驱动加载起来就没有意义了
隔山打空气
发表于 5 天前 | 显示全部楼层
00006666 发表于 2022-1-13 17:47
驱动加载起来就没有意义了

啊这,那如果加载过程中被杀呢,请问也算防住了吗?

未知的RKT是不是很难用静态特征杀?
00006666
 楼主| 发表于 5 天前 | 显示全部楼层
隔山打空气 发表于 2022-1-13 17:49
啊这,那如果加载过程中被杀呢,请问也算防住了吗?

未知的RKT是不是很难用静态特征杀?

常规的加载方式是肯定会被拦截的,所以现在有出现一些特殊方式加载驱动。

加壳的这种确实很难特征查杀,不过其实看签名也能看出异常,除非是WHQL。

评分

参与人数 1人气 +3 收起 理由
隔山打空气 + 3 这就得问问某位著名RKT收集者了XD

查看全部评分

隔山打空气
发表于 5 天前 | 显示全部楼层
00006666 发表于 2022-1-13 17:54
常规的加载方式是肯定会被拦截的,所以现在有出现一些特殊方式加载驱动。

加壳的这种确实很难特征查杀 ...

那请问WHQL就只能用HIPS往上怼或者后知后觉急救箱?

如果感染了Rootkit,主防会在它做出操作时拦截一些东西吗?用户如何得知自己是否感染...是不是很难
k2132
发表于 5 天前 | 显示全部楼层
奇安信
Win32/Trojan.e42
00006666
 楼主| 发表于 5 天前 | 显示全部楼层
隔山打空气 发表于 2022-1-13 17:58
那请问WHQL就只能用HIPS往上怼或者后知后觉急救箱?

如果感染了Rootkit,主防会在它做出操作时拦截一 ...

驱动加载起来,主防基本就失效了

至于普通用户能不能发现,可以参考这个:https://bbs.kafan.cn/thread-2173045-1-1.html

评分

参与人数 1人气 +2 收起 理由
隔山打空气 + 2 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-1-18 00:05 , Processed in 0.099517 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表