楼主: caizhe666
收起左侧

[病毒样本] [2022/2/12 免杀]绕360修改MBR

  [复制链接]
tdsskiller
发表于 2022-2-12 17:47:11 | 显示全部楼层
ANY.LNK 发表于 2022-2-12 17:42
MS Defender补充:解压自解压文件,里面的exe触发自动上报,随后Program:Win32/Contebrew.A!ml击杀,sys我 ...

提交一个还有N个我记得有人提过某星也是有过的
BE_HC
发表于 2022-2-12 17:55:38 | 显示全部楼层
tdsskiller 发表于 2022-2-12 17:44
任意磁盘读写。。。。这不乱杀,加载驱动后谁都顶不住

确实,一加驱动就寄了



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
tdsskiller
发表于 2022-2-12 17:55:46 | 显示全部楼层
其实只有回收签名权限才有可能完全防止这种。。。

要不然,人家套个娃,直接用卡巴或者WD投放白驱动,这你总杀不了吧?然后代码任意执行内存加载磁盘驱动直接抹掉你,你连发生什么都不知道
ANY.LNK
发表于 2022-2-12 17:56:24 | 显示全部楼层
tdsskiller 发表于 2022-2-12 17:47
提交一个还有N个我记得有人提过某星也是有过的

能拦一个是一个吧……
caizhe666
 楼主| 发表于 2022-2-12 18:01:00 来自手机 | 显示全部楼层
tdsskiller 发表于 2022-2-12 17:55
其实只有回收签名权限才有可能完全防止这种。。。

要不然,人家套个娃,直接用卡巴或者WD投放白驱动,这 ...

不是你想得那么简单,签名没法对单个文件回收,而且,如果吊销签名,成本很高的,不但要申请新的,而且以前软件全废了,对一个杀软来说更雪上加霜,这种一般是文件指纹拦截了
tdsskiller
发表于 2022-2-12 18:04:13 | 显示全部楼层
caizhe666 发表于 2022-2-12 18:01
不是你想得那么简单,签名没法对单个文件回收,而且,如果吊销签名,成本很高的,不但要申请新的,而且以 ...

我指的是,回收给驱动打签名的权限,和boot一样,第三方boot全部作废,只有微软本家的才可以用

也就是说,没有第三方签名,只能由微软来敲定签名
NICO-COOPER
发表于 2022-2-12 18:04:54 | 显示全部楼层
BE_HC 发表于 2022-2-12 17:55
确实,一加驱动就寄了

可能和win 11有关,20楼已说明管理员权限也没用
00006666
发表于 2022-2-12 18:05:13 | 显示全部楼层
tdsskiller 发表于 2022-2-12 18:04
我指的是,回收给驱动打签名的权限,和boot一样,第三方boot全部作废,只有微软本家的才可以用

也就是 ...

本来WHQL是可以类似这种的,以前据说WHQL签名还得提供源代码才能签
tdsskiller
发表于 2022-2-12 18:07:23 | 显示全部楼层
NICO-COOPER 发表于 2022-2-12 18:04
可能和win 11有关,20楼已说明管理员权限也没用

让楼主加一个把EFI分区抹了的代码应该就可以了。。。MBR被抹关UEFI+GPT什么事
BE_HC
发表于 2022-2-12 18:07:32 | 显示全部楼层
caizhe666 发表于 2022-2-12 18:01
不是你想得那么简单,签名没法对单个文件回收,而且,如果吊销签名,成本很高的,不但要申请新的,而且以 ...

HMPA 成功拦截





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 09:19 , Processed in 0.117243 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表