又是他，绕过360与卡巴加驱并强制终止进程

anxiety520

这个人拉黑了一个工作室的人.......明显是在哗众取宠，那些ROOTKIT比这个玩的恶心多了

网名丢失

发这种视频有什么意思，无聊

haroomini

这种东西只能自娱自乐而已，真传播秒没。真以为云是摆设？

kakenhi

wowocock 发表于 2022-3-31 10:45
这个，真不好说。理论上来说白EXE+灰DLL+有任意内存读写漏洞的白驱动，可以加载任意内核代码。都可以达到这 ...

部分老外的通不了。说白了还是国内部分厂家过于依赖可信进程链减少误报了，适应国内攻防演习大环境。遇到真正的apt，偷证书的，用day的，供应链的，就哑火。水坑白加黑也管不了。真正攻击里面，建立信任关系后发白加黑成功率也蛮高的。然而国内攻防演习时间太短，以上办法都没那么好用。

帝辛

驱动级对抗没办法的。就是有心算无心。同等级下。我先干你我就能干掉你。事实上到了真实世界。这软件很快就会被云拉黑。无论是360安全云还是KSN。

一云

前几天，碰到这个病毒，重装了N次系统，情况如下：在联网之前，把360或者卡巴，装上，扫描系统正常，只要联网，马上把360或者卡巴直接关闭，然后，打开任意软件或者文件夹，系统直接报错，说来估计没有人会相信，不是在这里打广告，只是提示一下，最后的结果是用国产的江民杀毒软件，速智版杀毒软件，下载安装，不升级杀毒软件情况之下，也可以干掉那个病毒，病毒没有保留。

tdsskiller

kakenhi 发表于 2022-4-17 02:41
部分老外的通不了。说白了还是国内部分厂家过于依赖可信进程链减少误报了，适应国内攻防演习大环境。遇到 ...

谁也顶不住你用0day连招啊n卡大厂都能被掳走那么多数据

tdsskiller

帝辛 发表于 2022-4-18 03:02
驱动级对抗没办法的。就是有心算无心。同等级下。我先干你我就能干掉你。事实上到了真实世界。这软件很快就 ...

白利用没法拉黑，白加黑可以可以防

帝辛

tdsskiller 发表于 2022-4-19 11:41
白利用没法拉黑，白加黑可以可以防

有漏洞的直接拉黑通知厂商不就完了。或者拉黑利用的那个EXE。不过麻烦的是会出现很多。但是流通就能拉黑。你要利用总得有个exe或者dll吧？就算直接内存创建也需要个载体。

tdsskiller

帝辛 发表于 2022-4-19 12:53
有漏洞的直接拉黑通知厂商不就完了。或者拉黑利用的那个EXE。不过麻烦的是会出现很多。但是流通就 ...

按现在的说法就是太多了，流行起来的确实能针对，但是某些你报了也没用，在这里我就不点名了r3的至今也只有曝光的那几个，ini 0day和注册表0day，r0的是真的多，多到头皮发麻，我dell笔记本原装系统那个dell自动更新啊，阴间