疑似rootkit

bbszy

GreatMOLA 发表于 2023-5-17 21:23
Norton
Trojan.Gen.MBT
加载后：

能拦截加载吗或者加载后能删除吗

GreatMOLA

bbszy 发表于 2023-5-20 23:04
能拦截加载吗或者加载后能删除吗

拦截加载了

tdsskiller

bbszy 发表于 2023-5-20 23:04
能拦截加载吗或者加载后能删除吗

加载后能删除的基本没有。卡巴和WD有时候可以，其余的都不行。而且卡巴和WD得在没有被封锁的情况下才可以，如果被加上和急救箱同等待遇就不可能了，但是这一类国人驱动木马基本只针对急救箱和火绒

急救箱待遇：全盘文件只要出现急救箱特征文件就会被内核中删除，注册表中出现疑似急救箱注册表相关就内核死锁，就算是违规内核加载无签名的急救箱驱动被符合特征也会被标记或者强制重启，利用替换系统驱动来加载急救箱驱动也会被禁掉，所有的急救箱签名以及相关签名文件和镜像全部不能进内存，你想想卡巴和WD能不能顶住这种封锁


比如某个传奇私-Fu驱动木马在老版本还没有封锁火绒剑的时候，这个木马开了个不能被暂停的内核线程，火绒剑能看到这个内核线程在无限循环扫描所有的进程，驱动，注册表服务项，任何一个文件执行的时候都会被这个内核线程open，任何一个新的服务项创建都会被这个线程open key

@wowocock

wowocock

tdsskiller 发表于 2023-5-20 23:42
加载后能删除的基本没有。卡巴和WD有时候可以，其余的都不行。而且卡巴和WD得在没有被封锁的情况下才可以 ...

所以只有进PE这一王道了。除了BOOTKIT外基本都能处理。BTW急救箱内加入了对BLACK LOTUS UEFI BOOTKIT 的修复，所以即使中了该木马也不用像微软建议的那样重装系统。另外随着微星等密钥的泄露，不排除以后会有更多固件级别的UEFI BOOTKIT 的出现，急救箱这里后续也会加入UEFI BIOS固件检测。

发呆的阿狸~

[编辑掉]

发呆的阿狸~

wowocock 发表于 2023-5-22 11:02
所以只有进PE这一王道了。除了BOOTKIT外基本都能处理。BTW急救箱内加入了对BLACK LOTUS UEFI BOOTKIT 的 ...

看了大佬描述感觉急救箱真的很厉害啊请问下NPE这类和急救箱是不是同一个类型的产品?也能对抗恶意驱动吗

wowocock

发呆的阿狸~ 发表于 2023-5-22 11:11
看了大佬描述感觉急救箱真的很厉害啊请问下NPE这类和急救箱是不是同一个类型的产品?也能对抗恶意驱 ...

一般没被针对的话，可以试试。毕竟小众的好处是没人干你。但如果产品做的太垃圾，别人躺平，你都干不了。

研究专家

wd kill