WHQL signed rootkit

显示全部楼层 · 发表于 2022-7-29 12:31:21

wwwab 发表于 2022-7-29 12:18
我印象里铁壳好像从来没入库过whql rootkit（上报？针对whql rootkit，没用的），哦对不过拉白过

铁壳都直接自动机结案的，可以考虑按误报上报，让人工处理……

显示全部楼层 · 发表于 2022-7-29 12:36:14

85683213 发表于 2022-7-29 12:25
start type, group, location 都不影响 sc delete 啊，更何况这些都不是命名 Rootkit 的理由

不是啊，驱动谁启动得早，关上大门，谁就被挡在外面

所以它能对抗专杀急救箱，也能隐藏自身，你直接卸载就是蓝屏钙奶，或者就拒绝访问

显示全部楼层 · 发表于 2022-7-29 12:38:14

本帖最后由 00006666 于 2022-7-29 12:55 编辑

wwwab 发表于 2022-7-29 12:36
不是啊，驱动谁启动得早，关上大门，谁就被挡在外面

所以它能对抗专杀急救箱，也能隐藏自身，你直接卸 ...

以前确实有遇到过木马驱动，注册表没保护，然后直接sc delete，就没了，不过这种的非常少，但也不能说没有

显示全部楼层 · 发表于 2022-7-29 12:39:05

00006666 发表于 2022-7-29 12:38
以前确实有遇到过木马驱动，注册表没保护，然后直接sc delete，就没了

@落华无痕那边就遇到这类的

传奇私-Fu家族一般不会这么傻，而且很多时候是因为没有通过exe下发配置

显示全部楼层 · 发表于 2022-7-29 12:39:47

wwwab 发表于 2022-7-29 12:39
传奇私-Fu家族一般不会这么傻，而且很多时候是因为没有通过exe下发配置

一般情况是不会，但是不能说没有，以前落华无痕那边帮网友远程确实也有见过这种的

显示全部楼层 · 发表于 2022-7-29 12:40:10

传奇私-Fu的骚操作，之前还用急救箱扫蓝过，可能是内存rootkit

显示全部楼层 · 发表于 2022-7-29 12:41:05

本帖最后由 85683213 于 2022-7-29 12:43 编辑

wwwab 发表于 2022-7-29 12:36
不是啊，驱动谁启动得早，关上大门，谁就被挡在外面

所以它能对抗专杀急救箱，也能隐藏自身，你直接卸 ...

所以我问驱动有没有这些「隐藏自身」的功能啊，没有的话随便就能删除，怎么会叫 Rootkit

而且没人叫你直接卸载，运行中卸载当然蓝，你让他重启删除就行

显示全部楼层 · 发表于 2022-7-29 12:41:08

85683213 发表于 2022-7-29 12:25
start type, group, location 都不影响 sc delete 啊，更何况这些都不是命名 Rootkit 的理由

在R0的Rootkit，想拒绝R3的sc.exe就拒绝，sc指令发出了，想干什么，是否遵从由Rootkit自己决定。有的可以返回已卸载但本身还是驻留在内核的

显示全部楼层 · 发表于 2022-7-29 12:41:42

85683213 发表于 2022-7-29 12:41
所以我问驱动有没有这些「隐藏自身」的功能啊，没有的话随便就能删除，怎么会叫 Rootkit

不隐藏自身你也干不掉

显示全部楼层 · 发表于 2022-7-29 12:42:12

85683213 发表于 2022-7-29 12:41
所以我问驱动有没有这些「隐藏自身」的功能啊，没有的话随便就能删除，怎么会叫 Rootkit

有的有，但有的就算看见了也拿它没办法

[病毒样本] WHQL signed rootkit