查看: 1803|回复: 16
收起左侧

[讨论] 关于智量的几个问题(可能是实时监控的BUG)

[复制链接]
00006666
发表于 2022-6-16 15:48:13 | 显示全部楼层 |阅读模式
本帖最后由 00006666 于 2022-6-16 16:14 编辑

关于智量的几个问题   @swizzer

下载PYARK,双击运行,会有以下几个拦截,不知道算不算误报,不过PYARK这种工具确实有一定的风险。












但是有个问题挺奇怪的,主防(以及实时监控)显示隔离了PYARK的驱动,但是我去隔离区又没有找到,后来才发现驱动还在目录中,并没有真的隔离文件。

主防(以及实时监控)显示隔离



但是隔离区并没有那个驱动



去驱动目录看了下,驱动其实还在目录中



智量防护日志

  1. Time                FilePath                                                                                           VirusName
  2. 2022-06-16 15:32:28 C:\Windows\System32\drivers\PYArkSafe.sys                                                           WIBD:HEUR.MalPersistence.D
  3. 2022-06-16 15:31:34 C:\Windows\System32\drivers\PYArkSafe.sys                                                           WIBD:HEUR.MalPersistence.D
  4. 2022-06-16 15:31:30 C:\Windows\explorer.exe->C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe                   事件: 启动程序  操作: 允许   
  5. 2022-06-16 15:31:02 C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe->14.29.110.9                               事件: 访问网络  操作: 允许   
  6. 2022-06-16 15:30:37 C:\Windows\System32\drivers\PYArkSafe.sys                                                           Trojan.Generic      
  7. 2022-06-16 15:30:37 C:\Windows\System32\drivers\PYArkSafe.sys                                                           WIBD:HEUR.MalPersistence.D
  8. 2022-06-16 15:30:33 C:\Windows\explorer.exe->C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe                   事件: 启动程序  操作: 允许   
复制代码




测试了下360,手动加白主程序,双击运行后,也会报驱动,不过确实是隔离文件,此时驱动文件隔离后,在驱动目录就看不到那个驱动了







  1. 时间        操作        说明        次数
  2. 2022-06-16 15:41:57        [自动阻止]          修改 系统目录        防护 1 次
  3. 详细描述:
  4. 进程:C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe
  5. 动作:修改
  6. 路径:C:\Windows\System32\drivers\PYArkSafe.sys
  7. 不再提醒(0x62aadec5)
  8. 防护信息: FD|10, 10, 70||
复制代码
  1. 时间        操作        说明        次数
  2. 2022-06-16 15:42:15        [已清除]          发现木马:Win32/Trojan.Generic.H8gAEpsA        防护 1 次
  3. 详细描述:
  4. 木马名称:Win32/Trojan.Generic.H8gAEpsA
  5. 所在路径:C:\Windows\System32\drivers\PYArkSafe.sys
复制代码
  1. 时间        操作        说明        次数
  2. 2022-06-16 15:42:38        [自动阻止]          驱动/服务        防护 1 次
  3. 详细描述:
  4. 进程:C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe
  5. 动作:服务创建
  6. 路径:C:\Windows\System32\drivers\PYArkSafe.sys
  7. 防护信息: AD|10, 10, 70||
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
swizzer
发表于 2022-6-16 15:54:48 | 显示全部楼层
你可以试试直接扫描路径下的驱动。不出意外的话,扫描也无法成功隔离。
00006666
 楼主| 发表于 2022-6-16 16:02:43 | 显示全部楼层
swizzer 发表于 2022-6-16 15:54
你可以试试直接扫描路径下的驱动。不出意外的话,扫描也无法成功隔离。

确实....,但是这个驱动又没啥对抗,直接右键就可以删除,注册表的服务项也可以用编辑器删除,而且实时监控都报了,很奇怪的是为什么程序还可以把驱动释放到驱动目录。






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
swizzer
发表于 2022-6-16 16:04:24 | 显示全部楼层
00006666 发表于 2022-6-16 16:02
确实....,但是这个驱动又没啥对抗,直接右键就可以删除,注册表的服务项也可以用编辑器删除,而且实时监 ...

个人觉得是有意这么设计,避免潜在的误报导致的风险。

虽然也不排除是个bug
00006666
 楼主| 发表于 2022-6-16 16:06:45 | 显示全部楼层
本帖最后由 00006666 于 2022-6-16 17:10 编辑

回复错了,编辑
wwwab
发表于 2022-6-16 16:10:51 | 显示全部楼层
00006666 发表于 2022-6-16 16:06
而且智量好像都没拦截程序加载驱动服务项,驱动文件本身也留在驱动目录,如果这个是一个真的rootkit,不就 ...

智量不往Windows内核方面靠拢

本来就没工具对抗RootKit

00006666
 楼主| 发表于 2022-6-16 16:13:34 | 显示全部楼层
本帖最后由 00006666 于 2022-6-16 17:10 编辑
wwwab 发表于 2022-6-16 16:10
智量不往Windows内核方面靠拢

本来就没工具对抗RootKit

主要是这个程序释放的驱动,本身智量的监控就会报毒,不知道为什么还会允许程序把驱动成功释放到驱动目录………
wwwab
发表于 2022-6-16 16:18:27 | 显示全部楼层
00006666 发表于 2022-6-16 16:13
主要是这个程序释放的驱动,本身智量的监控就会报毒,不知道为什么还会允许程序加载驱动服务项,把驱动成 ...

国内杀软论RootKit
火绒也是火绒剑出家的,而且对广告和捆绑很敏感,专杀
360也是内核驱动对抗出家的,急救箱

还有别家的也自己做了启动盘

智量……中了的RootKit还是算了吧
swizzer
发表于 2022-6-16 16:29:28 | 显示全部楼层
本帖最后由 swizzer 于 2022-6-16 17:13 编辑
00006666 发表于 2022-6-16 16:06
而且智量好像都没拦截程序加载驱动服务项,驱动文件本身也留在驱动目录,如果这个是一个真的rootkit,不就 ...

服务项的注册表也成功创建了吗
MalPersistence报法意味着在安装服务 (确切地说,是实现持久化的时候) 的时候进程被结束,正常情况下此时服务项是没有被创建的。
如果服务项的创建也没拦截,那就比较令人沮丧;但是如果没创建成功,我觉得源文件不删掉也无妨。

而且有意思的是,智量主防真的有一条报法叫WIBD:HEUR.Rootkit.__。某些独立版的火绒剑就有可能触发这条报法。

同时,智量HIPS默认设置下也是会拦截一部分加驱行为的。我记得坛子里那个CnCrypt Protect(或者是CnCrypt加密盘?记不清了)小工具在安装驱动时智量就会弹窗。不过默认操作是允许。
HIPS的提示与否应该与基础监控对驱动文件的恶意打分有关。最终还是静态特征的问题。



00006666
 楼主| 发表于 2022-6-16 16:33:54 | 显示全部楼层
本帖最后由 00006666 于 2022-6-16 17:29 编辑
swizzer 发表于 2022-6-16 16:29
服务项的注册表也成功创建了吗
MalPersistence报法意味着在安装服务的时候进程被结束,正常情况下此时服 ...

等下我找一个真正的释放rootkit的EXE测试一下。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 23:00 , Processed in 0.133046 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表