同一台电脑提取的可疑驱动hwperf.sys及exe

显示全部楼层 · 发表于 2024-3-20 22:56:22

.dat文件
解压密码：99B2328D3FDF4E9E98559B4414F7ACB9
卡巴通杀了
HEUR:Trojan.Script.Lua.a

.sys
HEUR:Rootkit.Win64.Agent.gen

显示全部楼层 · 发表于 2024-3-20 22:57:39

yysy看了火绒的报告，为了对付微软签名机制搞个ollvm有点秀的@DisaPDB

显示全部楼层 · 发表于 2024-3-20 23:35:54

Eset小粉絲发表于 2024-3-20 22:56
.dat文件
解压密码：99B2328D3FDF4E9E98559B4414F7ACB9
卡巴通杀了

啥时候竟然杀了sys
之前上报都是没法分析

显示全部楼层 · 发表于 2024-3-20 23:37:31

pal家族发表于 2024-3-20 23:35
啥时候竟然杀了sys
之前上报都是没法分析

不同分析师

OpenTIP目前还没拉黑，我再看看如何。
或许可以喷一下

显示全部楼层 · 发表于 2024-3-20 23:39:00

Eset小粉絲发表于 2024-3-20 23:37
不同分析师

OpenTIP目前还没拉黑，我再看看如何。

我这边也还没报毒呢

显示全部楼层 · 发表于 2024-3-21 00:24:10

EIS干掉了数个，sys驱动被静态干掉

显示全部楼层 · 发表于 2024-3-21 00:27:21

笑死了，诺顿果然信任了驱动，万劫不复，无可救药

显示全部楼层 · 发表于 2024-3-21 09:45:20

tdsskiller 发表于 2024-3-20 22:57
yysy看了火绒的报告，为了对付微软签名机制搞个ollvm有点秀的@DisaPDB

其实没啥的，就是加了LLVM确实不好分析了。不过技术原理都那样，基本都是被用烂的技术。用急救箱查杀即可。

显示全部楼层 · 发表于 2024-3-21 10:07:23

tdsskiller 发表于 2024-3-20 22:57
yysy看了火绒的报告，为了对付微软签名机制搞个ollvm有点秀的@DisaPDB

其实是有通用的逆平坦化方法的……但是这个工程量还是很大

（1）函数的开始地址为序言的地址；
（2）序言的后继块为主分发器；
（3）后继为主分发器的块为预处理器；
（4）后继为预处理器的块为真实块；
（5）无后继的块为retn块；
（6）剩下的为无用块

[病毒样本] 同一台电脑提取的可疑驱动hwperf.sys及exe