WHQL signed rootkit

wwwab

为何要抓着是否隐藏自身不放呢，不隐藏你就能干掉了它吗？

判断rootkit就不是单看是否隐藏自身一点重要不重要

00006666

wwwab 发表于 2022-7-29 12:43
为何要抓着是否隐藏自身不放呢，不隐藏你就能干掉了它吗？

判断rootkit就不是单看是否隐藏自身一 ...

这玩意就不应该叫做rootkit，你叫它驱动木马比较合适……

wwwab

说白了，https://bbs.360.cn/forum.php?mod=viewthread&tid=15952306这类玩意儿，就出个bug，或者触发了patch guard，都能给你直接蓝掉

ANY.LNK

00006666 发表于 2022-7-29 12:38
以前确实有遇到过木马驱动，注册表没保护，然后直接sc delete，就没了，不过这种的非常少，但也不能说没 ...

也许这种没有配置就跑不出行为可能也是规避微软驱动审核的原因之一

00006666

wwwab 发表于 2022-7-29 12:40
传奇私-Fu的骚操作，之前还用急救箱扫蓝过，可能是内存rootkit

能不能进红色强力模式？

wwwab

00006666 发表于 2022-7-29 12:45
这玩意就不应该叫做rootkit，你叫它驱动木马比较合适……

它就不搞驱动对抗，检测到急救箱进程就触发patch guard蓝屏掉，你也拿它没办法

wwwab

https://tech.ifeng.com/c/839kWtNAF3i还真有例子，马子有bug触发patch guard，每隔一会儿就给电脑蓝屏一次

ANY.LNK

wwwab 发表于 2022-7-29 12:47
它就不搞驱动对抗，检测到急救箱进程就触发patch guard蓝屏掉，你也拿它没办法

主页保安系列？

00006666

wwwab 发表于 2022-7-29 12:47
它就不搞驱动对抗，检测到急救箱进程就触发patch guard蓝屏掉，你也拿它没办法

所以说，急救箱主程序superkillller.exe建议改成随机名后再运行，可以的话把superkillller.exe这个文件的签名去了再启动更靠谱

wwwab

85683213 发表于 2022-7-29 12:41
所以我问驱动有没有这些「隐藏自身」的功能啊，没有的话随便就能删除，怎么会叫 Rootkit

而且没人叫你 ...

而且没人叫你直接卸载，运行中卸载当然蓝，你让他重启删除就行

他在r0，你让他重启删除，他不把你按在地上摩擦就算不错了

更有甚者检测到可疑的直接给你patch guard蓝掉

你行你上

汗毛都抢不到它，你连它哈希值都计算读取不出来