Magniber 6.30 ⑤

显示全部楼层 · 发表于 2022-6-30 21:59:00

00006666 发表于 2022-6-30 21:21
现在新的RKT，好多都已经换成了WHQL

https://bbs.kafan.cn/thread-2237891-1-1.html比如这个样 ...

这个可以直接加载吗
可以的话我测试一下

显示全部楼层 · 发表于 2022-6-30 22:02:58

anthonyqian 发表于 2022-6-30 21:40
搜了下 ESET一共回复过我183次

535次

显示全部楼层 · 发表于 2022-6-30 22:12:46

本帖最后由 00006666 于 2022-6-30 22:22 编辑

a27573 发表于 2022-6-30 21:59
这个可以直接加载吗
可以的话我测试一下

不晓得能不能直接加载

不过样本区有释放那个驱动的EXE样本:

https://bbs.kafan.cn/thread-2237860-1-1.html

运行EXE，界面按提示点击，等它释放驱动后，然后重启虚拟机，重启后再测试杀软的查杀

显示全部楼层 · 发表于 2022-7-1 06:49:29

ICzcz 发表于 2022-6-30 21:16
态度天上地下

今早：All GenericKD …
数字还是连续的…

显示全部楼层 · 发表于 2022-7-1 09:41:32

这个系列作者和杀软已经变成拉锯战了

显示全部楼层 · 发表于 2022-7-1 10:08:57

Tom179090 发表于 2022-7-1 06:49
今早：All GenericKD …
数字还是连续的…

常规操作，美国大厂都哈希拉黑，我BD肯定也要学习先进经验

显示全部楼层 · 发表于 2022-7-2 02:01:01

本帖最后由 a27573 于 2022-7-2 02:09 编辑

00006666 发表于 2022-6-30 22:12
不晓得能不能直接加载

不过样本区有释放那个驱动的EXE样本:

测了，重启之前 ESET 会报 Temp 下面那个 sys，然后提示重启删除
重启之后 sys 转移到 System32 下，然后 ESET 就扫不出来了
不过 ESET 会一直报 System 访问恶意 URL

还有，试了一下 KVRT 也清除不掉（不过能扫出来），这点我挺吃惊的
也有可能是我操作不对

过两天试试用英文版录个完整的视频给官方看看
虽然上次结果挺惨烈的，但还是要试试

@anthonyqian @ICzcz @Eset小粉絲有兴趣一起来吗？

显示全部楼层 · 发表于 2022-7-2 05:55:42

a27573 发表于 2022-7-1 18:01
测了，重启之前 ESET 会报 Temp 下面那个 sys，然后提示重启删除
重启之后 sys 转移到 System32 下，然 ...

可以脱敏处理后丢推特上增加曝光，如果觉得邮件可能石沉大海

显示全部楼层 · 发表于 2022-7-2 07:19:42

a27573 发表于 2022-7-2 02:01
测了，重启之前 ESET 会报 Temp 下面那个 sys，然后提示重启删除
重启之后 sys 转移到 System32 下，然 ...

RKT样本一般都要重启后才会生效，我这里测试，重启前ARK能看到，重启后ARK就看不到了

显示全部楼层 · 发表于 2022-7-2 08:37:00

a27573 发表于 2022-7-2 02:01
测了，重启之前 ESET 会报 Temp 下面那个 sys，然后提示重启删除
重启之后 sys 转移到 System32 下，然 ...

直接发邮件到samples那个邮箱，看看实验室的人怎么说的…

不过我对rootkit没有很感兴趣……

[病毒样本] Magniber 6.30 ⑤

评分

浏览过的版块