样本区“摧毁者”的表现（含最新冰盾、火绒的）

x-天秤座

安全测评 发表于 2024-6-26 21:31
HIPS跟杀毒软件不是一种维度的产品。
杀毒软件安装了就可以看效果了，能不能拦截一下子就看出来。
但是HI ...

关键是冰盾弹窗里面，点三点后终止程序，不能终止；打开冰盾界面的安全工具，也不能终止进程，强杀没试过估计也不能。

wwwab

我建议你试试放行MBR修改行为重启，连BSOD都不会有

然后与阻止MBR修改行为重启后无限BSOD对照一下

你拿个PE进去查看下MBR ，MBR是拦住了的，KillMBR或者LockMBR之后压根就看不到BSOD界面

之所以无限BSOD，是因为像2楼和5楼所说的那样，样本有KillWin删系统文件的行为，有些样本可能还会额外改系统引导区 BCD

wwwab

x-天秤座 发表于 2024-6-26 22:37
百度百科：“鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支，共同特征是感染电脑硬盘的主引导记 ...

“鬼影”病毒家族会比Windows系统更早加载到内存中运行

原来你也能看出来MBR比Windows启动得更早啊，蓝屏界面属于Windows操作系统的异常界面，那病毒如果毁坏了MBR，压根就启动不到Windows，哪来的蓝屏界面？（适用范围：此类KillMBR LockMBR样本）

至于你说鬼影、魅影，人家是往MBR里面植入了一些恶意代码，因为能比Windows更早启动，甚至比传统的驱动NTRootKit启动得还要早，所以使得防病毒软件更难查杀，是BootKit一类的病毒。RootKit、bootkit最大的特点是让你发现不了你中毒，还有一点就是难杀。

而如果病毒制作者只是想要搞破坏让你进不去系统，只需要KillMBR KillBCD KillWin，和Bootkit类是采用相反的思路的。病毒制作者完全没有必要花更多的精力画蛇添足植入一个好的盗取数据的后门Bootkit病毒，还要能够让你正常引导进入系统，然后同时什么都没干又马上把系统破坏了，把系统文件全删了，那写这个盗取数据的后门Bootkit病毒还有什么意义？
就好比你给别人电脑种了一个木马为了盗取数据，然后你还什么都没干，就把别人电脑给破坏了，那你这马子的意义何在？这到底算是搞破坏的还是种后门的？
压根就没有人会这么写

wwwab

x-天秤座 发表于 2024-6-26 22:40
我文章里面并没有说样本的唯一行为！谢谢，爱尔眼科欢迎您，麻烦高手先去看看眼睛吧，剩下不回复了，惹不 ...

你实事求是测这个样本了吗？

如果样本确实只有修改MBR这唯一一个行为，拦截修改MBR后无限BSOD了，那确实有可能是修改MBR没拦住

但是样本不是只有修改MBR这唯一一个行为啊，拦截修改MBR后无限BSOD了，你是怎么确定的是修改MBR没拦住，而不是别的行为没拦住？实际上样本有KillWin的行为的啊

你得出这个结论的方式不就是：因为样本修改MBR，拦截修改MBR后无限BSOD了，所以就是MBR没拦住 吗
默认就隐含了一个前提条件：样本只有修改MBR这唯一一个行为有可能导致无限BSOD
不然如果没有这个条件，你这个结论完全推不出来啊——样本除了修改MBR还有其他可能导致无限BSOD的行为，拦截修改MBR后无限BSOD了，所以为什么一定就是MBR没拦住呢。。
这个隐含的假设就不成立

wwwab

此类KillMBR LockMBR类搞破坏的样本，就算你要是经常看爱比较这种娱乐视频号其实也能够看出来，通常双击之后有三种——一种是死在VMware黑色启动界面完全进不去了（MBR被破坏掉了），一种是无限BSOD（MBR拦住了，系统引导/BCD/系统文件/系统注册表/系统环境等等被破坏了导致系统启动不了），一种是BSOD一次之后重启就能进去了（拦截成功）。当然，这种搞破坏的样本也不排除有添加了启动项反复启动的，那种同样也会增加复杂性

Komeiji-Reimu

x-天秤座 发表于 2024-6-26 22:24
冰盾弹窗是无法结束进程的，工具也不行，我文字里面有写，你可以试一下。至于破坏MBR，火绒有提示，论坛 ...

你在说什么？他有两个行为，一个是破坏mbr导致无法引导
另一个是删除catroot导致无线蓝屏
既然你能无限蓝屏那就说明你的mbr没有问题，防住了懂吗
我挺好奇你2647个积分咋来的