搜索
楼主: 00006666
收起左侧

[病毒样本] rootkit

  [复制链接]
tdsskiller
发表于 4 天前 | 显示全部楼层
本帖最后由 tdsskiller 于 2022-1-14 23:02 编辑
隔山打空气 发表于 2022-1-13 20:38
况且HIPS现在都有些阴间的RKT能绕过去。。。

要是咱们知道鬼什么时候来,那肯定不放他进来。

HIPS已经没有手动模式了,现在看到的加载驱动都很阳间,社工你让你手动关监控简单多了,阴间加载驱动实际上不多。

目前阴间的就是autochk截断加载黑驱动,漏洞白文件加载黑驱动(如windows defenders自我保护加载黑驱动,xxxtray加载黑驱动,或者某款杀软加载黑驱动等等)

当然最狠毒的还是隐魂那种的,漏洞白文件套娃,连驱动都是白文件(windows defenders的一个漏洞驱动),从加载开始就是白文件加载(貌似有xxxx的漏洞还是xxxx阅读器漏洞加上带有漏洞的白文件驱动),最后应该是白文件与白驱动通信执行恶意代码,阴间到家里去了,那种就不指望谁能挡住了。

那稍微好防御一点的,最近老外提到的windows defenders白加黑我估计曝光出来又要秒杀全世界的主防,这种些玩意变态的很。。


目前微软看到漏洞驱动非常生气但是生气也没用,18-20年的whql驱动我感觉都要被大哥玩坏了

评分

参与人数 1人气 +2 收起 理由
隔山打空气 + 2 感谢解答: )

查看全部评分

tdsskiller
发表于 4 天前 | 显示全部楼层
swizzer 发表于 2022-1-13 20:28
都WHQL了,哪个HIPS敢不认这签名硬生生拦截加载啊

唯一正道还是PE+急救箱,亡羊补牢为时未晚[:0 ...

现在国人有钱任性,whql乱飞,但凡作者写一个带有正常驱动名字,加上偷一个pdb,最后把描述改成迷惑度很大的,给你都觉得误报
tdsskiller
发表于 4 天前 | 显示全部楼层
本帖最后由 tdsskiller 于 2022-1-14 23:01 编辑
swizzer 发表于 2022-1-13 20:28
都WHQL了,哪个HIPS敢不认这签名硬生生拦截加载啊

唯一正道还是PE+急救箱,亡羊补牢为时未晚[:0 ...

有whql急救箱还不一定能搞定,这种带whql的完全可以是手动启动,不需要任何自我保护,架内核后门就完事了。。。


wwwab
发表于 3 天前 | 显示全部楼层
[quote][url=forum.php?mod=redirect

现在近几年的Rootkit驱动,哪怕是WHQL的,基本上都带有VMP的壳,而且一抓一个准。你不信可以看看现在近几年的你发过的、我发过的和样本区的别人发过的Rootkit的样本,提取出来驱动才有几个是不带VMP的壳子的
QVM360
发表于 3 天前 | 显示全部楼层
隔山打空气 发表于 2022-1-13 17:39
那要不直接学ESET,VMP看不出来一律杀杀杀,叫你加壳,我直接看都不看把你扬了

或者学MD,小文 ...

eset还会报Themida和Enigma
像ZProtect和UPX, ASPack之类的会直接脱掉
KentMB
发表于 3 天前 | 显示全部楼层
00006666 发表于 2022-1-13 11:42
可能是报的壳吧,很多RT都带VMP,这个样本没认真分析过,不知道有没有加壳。

哦哦哦看到了楼主已经看到壳了 编辑掉
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-1-18 00:22 , Processed in 0.093726 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表