漏洞驅動 科胜电子科技有限公司

761773275

1X_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

上面的樣本利用該驅動結束SOPHOS、S1等企業級殺毒軟件

心醉咖啡

360

UNknownOoo

火绒
扫描：MISS


智量
双击：多步拦截并隔离本体及衍生物

GreatMOLA

Insight


FW1.exe：机学杀

hansyu

McAfee
ti!E055FDFB914E

wwwab

不像是漏洞驱动，像是黑签名/泄露签名驱动

这个签名金山毒霸鹰眼威胁情报团队（https://mp.weixin.qq.com/s/xjDRBTLRPFbpwaRlQY7RdA）也捕获到过，当时也是Python + VMProject + Themida（分析和通杀难度不低）



这个驱动的字符串也能够看出来是专门kill东西的

Unicode：

1. \??\MTKill
   
2. \Device\MTKillDevice

复制代码

ASCII：

1. Initialize Success
   
2. Create SymLink Faild!
   
3. Open Process %d Successful!
   
4. Open Process %d Failed!
   
5. Get PID : %d
   
6. Unknown CODE!
   
7. Kill Successful
   
8. Create Device Faild!
   
9. This Driver Is Unloading...
   
10. Enter the IO
    
11. Kill Failed
    
12. .rdata$zzzdbg
    
13. .pdata
    
14. RSDS{`
    
15. .00cfg
    
16. .text$s
    
17. .idata$5
    
18. .idata$3
    
19. .gfids
    
20. .idata$2
    
21. .text$mn$00
    
22. F:\C++\MyDriver1\x64\Release\MyDriver1.pdb
    
23. .idata$4
    
24. .idata$6
    
25. .text$mn
    
26. .rdata
    
27. .xdata
    
28. IoDeleteSymbolicLink
    
29. RtlInitUnicodeString
    
30. ZwTerminateProcess
    
31. DbgPrint
    
32. ZwOpenProcess
    
33. IoCreateSymbolicLink
    
34. IoDeleteDevice
    
35. IoCreateDevice
    
36. ZwClose
    
37. ntoskrnl.exe
    
38. IofCompleteRequest

复制代码

感觉可以直接拉黑驱动及其签名

Hacker-云

360卫士，电脑管家，AVG，卡巴斯基，瑞星，扫描无检出。

tdsskiller

wwwab 发表于 2023-8-20 09:01
不像是漏洞驱动，像是黑签名/泄露签名驱动

这个签名金山毒霸鹰眼威胁情报团队（https://mp.weixin.qq.co ...

这个签名难道还是老外定制版本？

wwwab

tdsskiller 发表于 2023-8-20 11:35
这个签名难道还是老外定制版本？

已经分析出一点儿头绪了

给你看一个精彩的部分：

sanhu35

wwwab 发表于 2023-8-20 12:53
已经分析出一点儿头绪了

给你看一个精彩的部分：

火绒没有驱动拦截 ，不拦截创建服务的话，一样挂