rootkit x1

显示全部楼层 · 发表于 2023-5-15 00:17:04

ANY.LNK 发表于 2023-5-13 00:40
链接已失效，请问是否有补档，我去上报一下，需要一个长效的

显示全部楼层 · 发表于 2023-5-15 07:52:09

zhangdr 发表于 2023-5-15 00:13
我这边使用的方式是先把temp目录下的NisArv.exe这个进程干掉，然后执行急救箱目录里那个急救箱运行不了被 ...

程序能运起来，不过驱动应该没加载成功，会被病毒拦截，导致查杀失败

显示全部楼层 · 发表于 2023-5-15 09:47:58

zhangdr 发表于 2023-5-15 00:13
我这边使用的方式是先把temp目录下的NisArv.exe这个进程干掉，然后执行急救箱目录里那个急救箱运行不了被 ...

急救箱所有带得，驱动都被木马作者拦截了，安全这东西本就是人与人得对抗，你做木马肯定也会测试下主流杀软得处理，研究下都有哪些驱动。所以需要另外加载其他驱动处理。这也是我为什么很多工具都不带到急救箱里对外发布得原因，因为这种对抗下，唯一得方式只有PE了。

显示全部楼层 · 发表于 2023-5-15 17:29:51

wowocock 发表于 2023-5-15 09:47
急救箱所有带得，驱动都被木马作者拦截了，安全这东西本就是人与人得对抗，你做木马肯定也会测试下主流杀 ...

内网还有其他机器也中招了
试了下，使用ark工具干掉驱动和对应temp目录下的exe，重启之后就能加载360急救箱了
看来重点还是怎么把驱动干掉，干掉了就没问题了

显示全部楼层 · 发表于 2023-5-15 23:11:03

活久见诺顿分析Rootkit了

入库为Trojan.Malfilte

[病毒样本] rootkit x1