rootkit

tdsskiller

隔山打空气 发表于 2022-1-13 20:38
况且HIPS现在都有些阴间的RKT能绕过去。。。

要是咱们知道鬼什么时候来，那肯定不放他进来。

HIPS已经没有手动模式了，现在看到的加载驱动都很阳间，社工你让你手动关监控简单多了，阴间加载驱动实际上不多。

目前阴间的就是autochk截断加载黑驱动，漏洞白文件加载黑驱动（如windows defenders自我保护加载黑驱动，xxxtray加载黑驱动，或者某款杀软加载黑驱动等等）

当然最狠毒的还是隐魂那种的，漏洞白文件套娃，连驱动都是白文件（windows defenders的一个漏洞驱动），从加载开始就是白文件加载（貌似有xxxx的漏洞还是xxxx阅读器漏洞加上带有漏洞的白文件驱动），最后应该是白文件与白驱动通信执行恶意代码，阴间到家里去了，那种就不指望谁能挡住了。

那稍微好防御一点的，最近老外提到的windows defenders白加黑我估计曝光出来又要秒杀全世界的主防，这种些玩意变态的很。。


目前微软看到漏洞驱动非常生气但是生气也没用，18-20年的whql驱动我感觉都要被大哥玩坏了

tdsskiller

swizzer 发表于 2022-1-13 20:28
都WHQL了，哪个HIPS敢不认这签名硬生生拦截加载啊

唯一正道还是PE+急救箱，亡羊补牢为时未晚[:0 ...

现在国人有钱任性，whql乱飞，但凡作者写一个带有正常驱动名字，加上偷一个pdb，最后把描述改成迷惑度很大的，给你都觉得误报

tdsskiller

swizzer 发表于 2022-1-13 20:28
都WHQL了，哪个HIPS敢不认这签名硬生生拦截加载啊

唯一正道还是PE+急救箱，亡羊补牢为时未晚[:0 ...

有whql急救箱还不一定能搞定，这种带whql的完全可以是手动启动，不需要任何自我保护，架内核后门就完事了。。。

wwwab

[quote][url=forum.php?mod=redirect

现在近几年的Rootkit驱动，哪怕是WHQL的，基本上都带有VMP的壳，而且一抓一个准。你不信可以看看现在近几年的你发过的、我发过的和样本区的别人发过的Rootkit的样本，提取出来驱动才有几个是不带VMP的壳子的

QVM360

隔山打空气 发表于 2022-1-13 17:39
那要不直接学ESET，VMP看不出来一律杀杀杀，叫你加壳，我直接看都不看把你扬了

或者学MD，小文 ...

eset还会报Themida和Enigma
像ZProtect和UPX, ASPack之类的会直接脱掉

KentMB

00006666 发表于 2022-1-13 11:42
可能是报的壳吧，很多RT都带VMP，这个样本没认真分析过，不知道有没有加壳。

哦哦哦看到了楼主已经看到壳了 编辑掉