WHQL 驱动 32X

显示全部楼层 · 发表于 2023-1-5 15:18:49

本帖最后由 117054487 于 2023-1-5 15:30 编辑

卡巴...扫描不报我把这32x样本压了个无密码压缩包反倒给我带走了....太搞了

显示全部楼层 · 发表于 2023-1-5 15:38:24

360杀毒剩一个592d4056b36cf298da2403a6afb9a52162f1f377085ca75d11a09bc2f5ae5434.sys，然后放 360闪电云鉴定器后，显示木马特征，然后扫描杀！
类型:木马-Win64/Trojan.Generic.HgoAS6IA
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:D:\360SANDBOX\SHADOW\2023.01\infected2023010501\Downloads\592d4056b36cf298da2403a6afb9a52162f1f377085ca75d11a09bc2f5ae5434.sys
文件大小:3.19M (3,342,368 字节)
文件指纹（MD5）:faa5806826ff1ba749b70de0e14835c3
数字签名:Microsoft Windows Hardware Compatibility Publisher
数字签名是否有效:有效
处理建议:隔离文件

显示全部楼层 · 发表于 2023-1-5 16:35:18

IamAngry 发表于 2023-1-5 15:06
火绒最近搞的那个驱动沙盒仿真看来真的挺猛啊

这个应该是特征杀吧？沙盒检出不是有HVM前缀嘛？

显示全部楼层 · 发表于 2023-1-5 17:07:16

360 kill all
ZS kill 30 miss2X

显示全部楼层 · 发表于 2023-1-5 17:13:31

本帖最后由 IamAngry 于 2023-1-5 17:14 编辑

UNknownOoo 发表于 2023-1-5 16:35
这个应该是特征杀吧？沙盒检出不是有HVM前缀嘛？

HVM是沙盒模拟行为检测。跑脱壳了特征杀还是报原来的名字。
https://bbs.huorong.cn/thread-117164-1-1.html

显示全部楼层 · 发表于 2023-1-5 17:27:46

IamAngry 发表于 2023-1-5 17:13
HVM是沙盒模拟行为检测。跑脱壳了特征杀还是报原来的名字。
https://bbs.huorong.cn/thread-117164-1-1. ...

感谢解答

显示全部楼层 · 发表于 2023-1-5 21:22:30

117054487 发表于 2023-1-5 15:18
卡巴...扫描不报我把这32x样本压了个无密码压缩包反倒给我带走了....太搞了

可以的话写封邮件提交一下样本，卡巴默认信任WHQL驱动

显示全部楼层 · 发表于 2023-1-5 21:29:13

crowdstrike KILL 28x
miss

0a6116a00f97f37499da064234901c8a4e99a271318724416ff0634846463351.sys
0a6116a00f97f37499da064234901c8a4e99a271318724416ff0634846463351.sys
7987432e06ede9ac618fba0091f5d632e44c48661f298f4010f00a4ca8fb1f14.sys
c7c03242d68ae59a0d6ae06863d019cb7a1c26bd11334431311df0d5db45753a.sys

复制代码

显示全部楼层 · 发表于 2023-1-5 21:38:24

VUE 发表于 2023-1-5 15:11
卡巴在线分析还有两个硬是没检出来感觉已经比ESET都弱了

对付破坏性病毒比nod32强多了

显示全部楼层 · 发表于 2023-1-6 09:36:56

BEST KILL 2X （？

[可疑文件] WHQL 驱动 32X

本帖子中包含更多资源

本帖子中包含更多资源