黑人抬棺病毒 1x

显示全部楼层 · 发表于 2022-2-9 11:50:24

thrt 发表于 2022-2-9 09:44
楼主可以帮忙试下可以穿shadowdefender1.4.0.648和最新版吗

这个样本肯定是不能穿的，但之前有一个样本可以实现不加驱穿影子Funny作者新作，能穿影子系统样本作者为[2022/2/3 360,火绒免杀]写MBR等扇区这个帖子的楼主，这个样本和穿影子的那个样本使用的技术基本相同，加驱穿影子可以去搜索一下论坛上之前的funny和Hida

显示全部楼层 · 发表于 2022-2-9 14:36:18

蜘蛛miss

显示全部楼层 · 发表于 2022-2-10 06:29:39

hackerbob 发表于 2022-2-9 08:30
不算老，2020年11月的

1年多了，早入库了吧

显示全部楼层 · 发表于 2022-2-10 09:00:48

MaxLen 发表于 2022-2-10 06:29
1年多了，早入库了吧

确实早入库了

显示全部楼层 · 发表于 2022-2-11 16:29:58

本帖最后由 thrt 于 2022-2-11 16:51 编辑

火绒爃发表于 2022-2-9 11:50
这个样本肯定是不能穿的，但之前有一个样本可以实现不加驱穿影子Funny作者新作，能穿影子系统样本作者为[ ...

试了 [2022/2/3 360,火绒免杀]写MBR等扇区确实可以穿透破坏分区表导致无法启动但分区里的文件数据完好话说可以做到破坏GPT分区吗

显示全部楼层 · 发表于 2022-2-11 17:08:27

thrt 发表于 2022-2-11 16:29
试了 [2022/2/3 360,火绒免杀]写MBR等扇区确实可以穿透破坏分区表导致无法启动但分区里的文件数据完 ...

这个样本据作者@caizhe666 的介绍是使用SCSI PASSTHROUGH的方式向系统驱动发送控制信息实现穿透影子等还原软件的（自身没有加载驱动），由于这个样本会破坏分区表等各种扇区还加了逻辑锁（分区表循环原理）可导致WindowsPE无法正常启动，我对GPT分区没有研究，但据作者QQ群里的朋友测试应该是可以破坏GPT分区的。

[病毒样本] 黑人抬棺病毒 1x

本帖子中包含更多资源

浏览过的版块