关于智量的几个问题(可能是实时监控的BUG)

00006666

关于智量的几个问题   @swizzer

下载PYARK，双击运行，会有以下几个拦截，不知道算不算误报，不过PYARK这种工具确实有一定的风险。












但是有个问题挺奇怪的，主防(以及实时监控)显示隔离了PYARK的驱动，但是我去隔离区又没有找到，后来才发现驱动还在目录中，并没有真的隔离文件。

主防(以及实时监控)显示隔离



但是隔离区并没有那个驱动



去驱动目录看了下，驱动其实还在目录中



智量防护日志

1. Time                FilePath                                                                                           VirusName
   
2. 2022-06-16 15:32:28 C:\Windows\System32\drivers\PYArkSafe.sys                                                           WIBD:HEUR.MalPersistence.D
   
3. 2022-06-16 15:31:34 C:\Windows\System32\drivers\PYArkSafe.sys                                                           WIBD:HEUR.MalPersistence.D
   
4. 2022-06-16 15:31:30 C:\Windows\explorer.exe->C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe                   事件: 启动程序  操作: 允许   
   
5. 2022-06-16 15:31:02 C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe->14.29.110.9                               事件: 访问网络  操作: 允许   
   
6. 2022-06-16 15:30:37 C:\Windows\System32\drivers\PYArkSafe.sys                                                           Trojan.Generic      
   
7. 2022-06-16 15:30:37 C:\Windows\System32\drivers\PYArkSafe.sys                                                           WIBD:HEUR.MalPersistence.D
   
8. 2022-06-16 15:30:33 C:\Windows\explorer.exe->C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe                   事件: 启动程序  操作: 允许   

复制代码

测试了下360，手动加白主程序，双击运行后，也会报驱动，不过确实是隔离文件，此时驱动文件隔离后，在驱动目录就看不到那个驱动了

1. 时间        操作        说明        次数
   
2. 2022-06-16 15:41:57        [自动阻止]          修改 系统目录        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe
   
5. 动作：修改
   
6. 路径：C:\Windows\System32\drivers\PYArkSafe.sys
   
7. 不再提醒(0x62aadec5)
   
8. 防护信息: FD|10, 10, 70||
   

复制代码

1. 时间        操作        说明        次数
   
2. 2022-06-16 15:42:15        [已清除]          发现木马：Win32/Trojan.Generic.H8gAEpsA        防护 1 次
   
3. 详细描述：
   
4. 木马名称：Win32/Trojan.Generic.H8gAEpsA
   
5. 所在路径：C:\Windows\System32\drivers\PYArkSafe.sys
   

复制代码

1. 时间        操作        说明        次数
   
2. 2022-06-16 15:42:38        [自动阻止]          驱动/服务        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\Administrator\Desktop\Pyark\PYArkClient.vmp.exe
   
5. 动作：服务创建
   
6. 路径：C:\Windows\System32\drivers\PYArkSafe.sys
   
7. 防护信息: AD|10, 10, 70||
   

复制代码

swizzer

你可以试试直接扫描路径下的驱动。不出意外的话，扫描也无法成功隔离。

00006666

swizzer 发表于 2022-6-16 15:54
你可以试试直接扫描路径下的驱动。不出意外的话，扫描也无法成功隔离。

确实....，但是这个驱动又没啥对抗，直接右键就可以删除，注册表的服务项也可以用编辑器删除，而且实时监控都报了，很奇怪的是为什么程序还可以把驱动释放到驱动目录。

swizzer

00006666 发表于 2022-6-16 16:02
确实....，但是这个驱动又没啥对抗，直接右键就可以删除，注册表的服务项也可以用编辑器删除，而且实时监 ...

个人觉得是有意这么设计，避免潜在的误报导致的风险。

虽然也不排除是个bug

00006666

回复错了，编辑

wwwab

00006666 发表于 2022-6-16 16:06
而且智量好像都没拦截程序加载驱动服务项，驱动文件本身也留在驱动目录，如果这个是一个真的rootkit,不就 ...

智量不往Windows内核方面靠拢

本来就没工具对抗RootKit

00006666

wwwab 发表于 2022-6-16 16:10
智量不往Windows内核方面靠拢

本来就没工具对抗RootKit

主要是这个程序释放的驱动，本身智量的监控就会报毒，不知道为什么还会允许程序把驱动成功释放到驱动目录………

wwwab

00006666 发表于 2022-6-16 16:13
主要是这个程序释放的驱动，本身智量的监控就会报毒，不知道为什么还会允许程序加载驱动服务项，把驱动成 ...

国内杀软论RootKit
火绒也是火绒剑出家的，而且对广告和捆绑很敏感，专杀
360也是内核驱动对抗出家的，急救箱

还有别家的也自己做了启动盘

智量……中了的RootKit还是算了吧

swizzer

00006666 发表于 2022-6-16 16:06
而且智量好像都没拦截程序加载驱动服务项，驱动文件本身也留在驱动目录，如果这个是一个真的rootkit,不就 ...

服务项的注册表也成功创建了吗
MalPersistence报法意味着在安装服务 (确切地说，是实现持久化的时候) 的时候进程被结束，正常情况下此时服务项是没有被创建的。
如果服务项的创建也没拦截，那就比较令人沮丧；但是如果没创建成功，我觉得源文件不删掉也无妨。

而且有意思的是，智量主防真的有一条报法叫WIBD:HEUR.Rootkit.__。某些独立版的火绒剑就有可能触发这条报法。

同时，智量HIPS默认设置下也是会拦截一部分加驱行为的。我记得坛子里那个CnCrypt Protect(或者是CnCrypt加密盘？记不清了)小工具在安装驱动时智量就会弹窗。不过默认操作是允许。
HIPS的提示与否应该与基础监控对驱动文件的恶意打分有关。最终还是静态特征的问题。

00006666

swizzer 发表于 2022-6-16 16:29
服务项的注册表也成功创建了吗
MalPersistence报法意味着在安装服务的时候进程被结束，正常情况下此时服 ...

等下我找一个真正的释放rootkit的EXE测试一下。