RootKit SYS 1X

显示全部楼层 · 发表于 2022-5-5 12:51:01

The file E:\infected\AAxq62xO\AAxq62xO.sys is infected with Gen:Suspicious.Cloud.1.gHX@aGGHZKk and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

显示全部楼层 · 发表于 2022-5-5 13:05:32

avast miss

显示全部楼层 · 发表于 2022-5-5 13:09:48

FS MISS

显示全部楼层 · 发表于 2022-5-5 15:28:53

tdsskiller 发表于 2022-5-5 12:42
又是土签名，加载看看
虚拟机直接加载貌似失败了，可能注册表不对或者隐藏

测了下，虚拟机能加载，开机加载，冒充系统驱动。急救箱强力能正常查杀。

显示全部楼层 · 发表于 2022-5-5 15:49:39

wowocock 发表于 2022-5-5 15:28
测了下，虚拟机能加载，开机加载，冒充系统驱动。急救箱强力能正常查杀。

我这边报的连接到系统的设备没有发挥作用，我是win10-1909虚拟机，你用的什么加载的？一般来说加载成功的话内核线程对注册表或者文件的常规操作是会被火绒剑发现的

显示全部楼层 · 发表于 2022-5-5 15:57:53

tdsskiller 发表于 2022-5-5 15:49
我这边报的连接到系统的设备没有发挥作用，我是win10-1909虚拟机，你用的什么加载的？一般来说加载成功的 ...

WIN7 64下直接驱动加载工具加载即可。测试一般建议用WIN7，能最大程度发挥木马的作用。WIN10的不少安全特性让一般木马有点畏首畏尾。

显示全部楼层 · 发表于 2022-5-5 16:00:35

wowocock 发表于 2022-5-5 15:57
WIN7 64下直接驱动加载工具加载即可。测试一般建议用WIN7，能最大程度发挥木马的作用。WIN10的不少安全特 ...

原来如此，怪不得，我看system读了一会ci后就报了加载失败，开始以为是签名没过，看来是系统不兼容

显示全部楼层 · 发表于 2022-5-5 16:27:48

SecureAPlus Kill

显示全部楼层 · 发表于 2022-5-5 19:46:07

毒霸

显示全部楼层 · 发表于 2022-5-5 20:17:54

McAfee blocked

[病毒样本] RootKit SYS 1X

评分

本帖子中包含更多资源