二开DCrat&利用白驱动，AVkiller！！！

DisaPDB

赢！

1. --------------------------------------------------------------
   
2. 2024-04-09 13:55:43     远控木马(Win32/Backdoor.Rat.HgkATW0A),Md5:1ef903cbeb58e3a2f4a56b9e8850076d已经禁止对此文件的访
   
3. 
   
4. 问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\stub\client.dll
   
5. 2024-04-09 13:55:43     远控木马(Win32/Backdoor.ARAT.HgkATSQA),Md5:5554d40435ad6ef99a0d085afc8c3cdd已经禁止对此文件的
   
6. 
   
7. 访问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\plugins\reverseproxy.dll
   
8. 2024-04-09 13:55:44     远控木马(Win32/Backdoor.ARAT.HgkATW0A),Md5:aa9ca423fce14a6a3938b9640ff92af4已经禁止对此文件的
   
9. 
   
10. 访问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\plugins\systeminfo.dll
    
11. 2024-04-09 13:55:45     远控木马(Win32/Backdoor.ARAT.HgkATW4A),Md5:b3ac8b30a0e5ebb04aee8fc11da5ba56已经禁止对此文件的
    
12. 
    
13. 访问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\plugins\runplug.dll
    
14. 2024-04-09 13:55:45     远控木马(Win32/Backdoor.ARAT.HgkATW0A),Md5:878d3cc940849e785ba379f91853f0b0已经禁止对此文件的
    
15. 
    
16. 访问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\plugins
    
17. 
    
18. \remotedesktop.dll
    
19. 2024-04-09 13:55:45     远控木马(Win32/Backdoor.ARAT.HgkATW0A),Md5:d261147fab650cefad5a4a7f9b1d103c已经禁止对此文件的
    
20. 
    
21. 访问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\plugins\information.dll
    
22. 2024-04-09 13:55:46     远控木马(Win32/Backdoor.ARAT.HgkATW0A),Md5:b9e79f636d325cb7c6280bb9a554f149已经禁止对此文件的
    
23. 
    
24. 访问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\plugins
    
25. 
    
26. \processmanager.dll
    
27. 2024-04-09 13:55:47     远控木马(Win32/Backdoor.ARAT.HgkATW0A),Md5:589eec1b0d6046108066cef845647dd1已经禁止对此文件的
    
28. 
    
29. 访问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\plugins\browser.dll
    
30. 2024-04-09 13:55:48     普通木马(Win32/Trojan.Generic.HgkATW4A),Md5:0c2185d51efb900af3ca5d1ad8a36919已经禁止对此文件的
    
31. 
    
32. 访问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\hotplugins\av杀手(驱
    
33. 
    
34. 动).dll
    
35. 2024-04-09 13:55:50     普通木马(Win32/Trojan.Generic.HgIATUsA),Md5:b00a078033dea154a4df2b72bc9deb7f已经禁止对此文件的
    
36. 
    
37. 访问，文件将无法被运行、移动。            c:\program files (x86)\cyberspike studio\cyberspike\plugins
    
38. 
    
39. \networkmanager.exe
    
40. ----------------------------------------------------------------------------------------------------------------------
    
41. 
    
42. --------------------------------------------------------------

复制代码

甚至看到了mmkz

DisaPDB 发表于 2024-4-9 13:54
正常文件不等于不会被利用
当Hacktool拉黑未尝不可

这样说也有道理，看来我测的瑞星漏报了...

tdsskiller

DisaPDB 发表于 2024-4-9 13:54
正常文件不等于不会被利用
当Hacktool拉黑未尝不可

是哪一家的驱动？

DisaPDB

tdsskiller 发表于 2024-4-9 22:57
是哪一家的驱动？

这个建议问楼主

biue

tdsskiller

DisaPDB 发表于 2024-4-9 22:58
这个建议问楼主

https://www.virustotal.com/gui/f ... 2a69fe30f45e607ff1c
https://bbs.kafan.cn/thread-2265280-1-1.html

384也7492374

tdsskiller 发表于 2024-4-9 22:57
是哪一家的驱动？

RogueKiller

LeeHS

CS 解压杀部分.dll,双击exe再杀一部分

jonathan12

腾讯电脑管家直接杀了两个，AV杀手跟那个cyber的exe离线版天擎，3.24样本库，杀了那个msi

wowocock

这方面卡巴做的比较好，应该是做了针对性的处理，其会挂钩NtDeviceIoControl,解析其中的控制码和参数，所以能用驱动干掉其他程序，但却干不掉卡巴的程序。