当杀软遇上2020的驱动是否能一战

显示全部楼层 · 发表于 2022-2-4 21:54:52

本帖最后由 vaedzy 于 2022-2-5 12:32 编辑

前言：
在今天，团队内部搞出来了一个驱动样本，是来自2020年的。这个样本可以kill掉进程。因此在团队进行了一次规模，测试目的是查看2022年了，各大杀软是否可以防止住利用驱动干掉杀软防护本体。本着可复现、可追溯的原则，因此样本未公开，未上报，测试人员均不同，等完全测试完毕后追更，并补充。

以下测试目的与设想，由于本人非网安专业，但也属于系统架构这一块的，对软件设计略知一二。所以站在软件工程学角度讲。如果有问题，欢迎大家批评。

设想：如果一个样本在扫描，双击以及干掉杀软的过程是无感的，那么是否可以在干掉杀软以后对杀软程序进行上锁，以阻止自启动。然后进行病毒样本投递，那么这样，用户计算机将被造成破坏或者产生威胁。（此类产物没见过纯属YY 团队内部正在研究如何制作出这种东西。此产物是依照ESET的ELG设想进行设计的，因此每个步骤均可实现，只是组合问题。）

那么这个样本就类似于微软实验室中的模拟器，该模拟器已装到电脑里，可远程投递恶意程序。唯一区别是他不会干掉杀软。

测试目的：
查看杀软是否可以在扫描、双击、以及运行时干掉此样本，或有感的通知用户此样本加载某些东西。

测试结果：

杀软	扫描	双击	加驱	是否送走杀软	是否无感	测试人
MDE	过	过	过	是	是	@病毒样本收集者
ESET	过	过	过	是	是	@vaedzy
卡巴斯基	过	过	过	是	是	@秋日之殇
avast	过	过	过	是	是	@正在缓冲
Sophos	过	过	过	是	是	@761773275
火绒	过	过	过	是	是	@babaj
智量	过	过	过	是	是	@babaj
腾讯电脑管家	过	过	过	是	是	@babaj
360	过	过	有提示	阻止不会，放行送走	否	@丞相
诺顿	过	过	过	是	是	@白崎桑
瑞星	过	过	过	是	是	@761773275
FS	过	过	过	是，重启后瞬间反杀	是	@谈谈MEMZ
BD	过	过	过	是	是	@anthonyqian

杀软多次被杀结果：

杀软	是否重启	测试人	备注
MDE	是	@病毒样本收集者	不管杀哪个都报废
ESET	是	@vaedzy	无问题
卡巴斯基	是	@秋日之殇	3次干掉后不重启。
avast	是	@正在缓冲	启动时有延迟，几秒间隔。
Sophos	是	@761773275	启动时有延迟，几秒间隔。
火绒	是	@babaj	无问题
智量	是	@babaj	无问题
腾讯电脑管家	是	@babaj	无问题
360	是	@丞相	无问题
诺顿	是	@白崎桑	干掉以后启动时间明显很慢 3次以后不重启
瑞星	否	@761773275	干掉以后不会重启
FS	是	@谈谈MEMZ	反杀样本
BD	是	@anthonyqian	无问题

在测试过程中，目前发现，卡巴斯基在被干掉三次以后不会重启。其他杀软均会重启，但还未经过大量测试。

哦对，在此就不私聊各位好兄弟了，希望测试人员把日志啥的贴在帖子下面，给大家做个参考。

好家伙，我恨谈谈MEMZ 测试时候忘了关上报，红伞系秒级响应，目前红伞系全部拉黑。侧面论证了红伞系响应速度的快。不像MD，MDE杀MD到现在都没反应。

显示全部楼层 · 发表于 2022-2-4 22:26:26

本帖最后由 00006666 于 2022-2-5 01:12 编辑

360急救箱不是在于能不能结束进程，而是在于能不能找到它

其实如果先运行目录里面的辅助工具，火绒剑是看不到PID的，任务管理器能看到

显示全部楼层 · 发表于 2022-2-4 22:02:22

本帖最后由正在缓冲于 2022-2-5 16:56 编辑

本测试为第二次测试

Avast测试报告病毒库为最新。
实机Avast One扫描miss

Avast原本进程挺多，用样本一个个杀，期间Avast都没说一句话

第一次测试时Avast所有进程过一会都会复活，但在此次测试中Avast进程杀光后系统无响应。

有PPT为证：https://wss1.cn/f/7j2rv8jps7i 复制链接到浏览器打开，打开网站即可观看
注：实际上是视频，全程无剪辑，但视频出奇卡顿，可以不用看了。用的是TunesKit Screen Recorder录的，估计得换录屏软件了

然后我是个电脑小白，有做得不妥的地方请谅解并指出

显示全部楼层 · 发表于 2022-2-4 22:03:01

正在缓冲发表于 2022-2-4 22:02
日志？用图片吗？有些进程被结束后几秒后就复活了，怎么截图……

我能提交视频，不过今晚很难提交了……

你最好多杀几次看看有没有卡巴斯基的问题卡巴斯基被多杀了几次直接不重启了

显示全部楼层 · 发表于 2022-2-4 22:06:28

本帖最后由 761773275 于 2022-2-4 22:07 编辑

PS：瑞星ESM365 ，一个个被我结束掉，完全没反应，也不会重启

还有19027天是怎么回事

显示全部楼层 · 发表于 2022-2-4 22:14:26

本帖最后由白崎桑于 2022-2-4 22:44 编辑

Norton
扫描miss

运行后NS被成功终止

一段时间后NS自动重新启动并杀掉我在中止期间创建的EICAR测试文件（时间够长的

第三次终止后目前未见防护启动

手动打开NS后第四次测试，较长一段时间未见防护启动
恢复快照后再次测试
前两次被干掉后2-3分钟防护重新启动
第三次被干掉后至少5分钟防护没有重新启动
20分钟没有重新启动，应该寄了

显示全部楼层 · 发表于 2022-2-4 22:22:20

本帖最后由 00006666 于 2022-2-5 01:04 编辑

话说测试结果那个指的是什么诶

显示全部楼层 · 发表于 2022-2-4 22:22:59

00006666 发表于 2022-2-4 22:22
这种驱动类的不是应该要试试急救箱吗

别问问就是带走了。

显示全部楼层 · 发表于 2022-2-4 22:23:40

00006666 发表于 2022-2-4 22:22
这种驱动类的不是应该要试试急救箱吗

试过了送走了

显示全部楼层 · 发表于 2022-2-4 22:24:18

vaedzy 发表于 2022-2-4 22:22
别问问就是带走了。

设想里面那个样本让我想起了暗云rootkit

显示全部楼层 · 发表于 2022-2-4 22:25:34

00006666 发表于 2022-2-4 22:24
设想里面那个样本让我想起了暗云rootkit

我没见过但这东西我们已经在重新研究了看看能不能做出来和微软实验室一样的模拟器

[技术原创] 当杀软遇上2020的驱动是否能一战

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源