旧事重提：回忆一个十年前的ZeroAccess以及最新Avast的清除情况

白露为霜

样本运行环境：Windows 7 x86
Avast版本：24.8

大家还记得十年前一个很热的清除ZeroAccess（ZA）的测评帖子吗？https://bbs.kafan.cn/thread-1838906-1-1.html。样本在260楼。

没记得有关于Avast的测试结果的。因此以此贴仿照主贴方法进行测试。使用的是目前最新的Avast 24.8，不是当时的Avast。

1、安装Avast，此时可以看到驱动没有加“小锁”。“小锁”的含义见原帖的回帖内容。


2、关闭Avast监控，双击ZeroAccess样本感染系统。发现驱动文件的“小锁”。


3、打开Avast监控，没有提示有什么威胁。


4、运行智能扫描，无提示有威胁。


5、全盘扫描，发现三个威胁，但是有的无法清除。


6、开机扫描之后，这三个报毒的是PChunter的文件，应该不是我们想要的。


7、检查系统的驱动目录，还是各种“锁”。应该就是没有清除成功的。


注意：Win7的x86版可能无法发挥出最新版Avast的能力，并不代表Avast在最新版系统上应对真实世界威胁的能力。本贴只展示了特定情况下的一次简易实验结果。

驭龙

这么说吧，当年的三A在防rootkit方面都一般般，Avira都没有驱动级的anit rootkit的模块，当年还是三大对付ZA比较好

不过时过境迁，因为Windows 10以后的内核隔离，让rootkit的难度加大，虽然不能杜绝，但提高了安全门槛，从此以后，第三方安全软件就很少搞AnitRootkit功能，各大厂商现在的ARK都是半吊子。

国内大佬不是说，不能在用户的系统上搞对抗，那样只能蓝屏。

所以现在第三方安全软件对付rootkit都不是很给力，好像就俄系的比较猛
=================================
PS：才发现，那帖子是我干的啊，差一点都忘了

今天没人气了，明天补上

白露为霜

驭龙 发表于 2024-9-5 00:27
这么说吧，当年的三A在防rootkit方面都一般般，Avira都没有驱动级的anit rootkit的模块，当年还是三大对付Z ...

十年大变样了龙大，现在想测AVG都没意义了，等于avast。那时候还有好多人玩杀软，好热闹。

除了用户体验的因素，感觉学界和业界也不怎么关注驱动级的rootkit对抗这种吃力不讨好的事。俄系像是喜欢点歪成一些冷门的科技树，三进制计算机这种

驭龙

白露为霜 发表于 2024-9-5 00:50
十年大变样了龙大，现在想测AVG都没意义了，等于avast。那时候还有好多人玩杀软，好热闹。

除了 ...

确实如此，现在跟那时候不一样了，国内关注安全软件的用户微乎其微，就像你国外区的帖子说的，并不是计算机威胁少了，只是变得隐蔽了，加上国内的免费安全产品，所以国内关注这方面的人真少。

说实话，我都没想到卡饭还在，真挺不容易的。

看各种安全方面的报道，企业还是计算机威胁的重灾区，大企业没有敢不安装安全产品的，国外每年都因为计算机威胁损失惨重

安全与威胁是并存的，此消彼长，二者很难分开，毕竟有利可图。

00006666

现在微软给杀软提供了ELAM，让杀软驱动可以优先于其他RTK驱动启动，已经极大程度帮助杀软清除RTK了。

wowocock

00006666 发表于 2024-9-5 07:14
现在微软给杀软提供了ELAM，让杀软驱动可以优先于其他RTK驱动启动，已经极大程度帮助杀软清除RTK了。

主要是现在WHQL签名，没以前那么容易了。360这边要打都麻烦的很。

tdsskiller

00006666 发表于 2024-9-5 07:14
现在微软给杀软提供了ELAM，让杀软驱动可以优先于其他RTK驱动启动，已经极大程度帮助杀软清除RTK了。

只能说没有被国产流氓针对导致的。被国产流氓针对只能换签名或者专门做点对点的对抗，要不然全局目标签名文件落地死，某rootkit还扫模块扫注册表，不知道有没有在关机回调也下坑的。不存在你能正常手段能把你的杀毒驱动落地，点名楼上的急救箱的惨状。

ft-cai

《赛博朝花夕拾》

abcd5678

我想起了 熊猫病毒 ,那会这病毒也差不多把主流的杀软都干趴了

00006666

tdsskiller 发表于 2024-9-5 10:13
只能说没有被国产流氓针对导致的。被国产流氓针对只能换签名或者专门做点对点的对抗，要不然全局目标签名 ...

杀软驱动完全加载不了那肯定是没什么办法了，现在急救箱也是推荐驱动加载失败时使用PE来处理。ELAM对于杀软驱动加载成功，内存对决阶段很有帮助。