银狐3X

显示全部楼层 · 发表于 2024-9-20 12:32:27

bd miss all
360 kill all

360好快

显示全部楼层 · 发表于 2024-9-20 12:34:38

00006666 发表于 2024-9-20 12:27
开始干ESET了，把对付国内杀软的方法同步上了

沙箱全被过了，应该不能穿透虚拟机吧

显示全部楼层 · 发表于 2024-9-20 12:34:40

本帖最后由 aikafans 于 2024-9-20 15:20 编辑

eset都翻车了，感觉某人要退出论坛了

显示全部楼层 · 发表于 2024-9-20 12:36:28

星神不灭发表于 2024-9-20 12:34
沙箱全被过了，应该不能穿透虚拟机吧

银狐还没有先进到能够穿透虚拟机，穿透虚拟机、还原系统之类的技术，不是他们这种能做出来的

显示全部楼层 · 发表于 2024-9-20 12:37:05

本帖最后由 UNknownOoo 于 2024-9-20 12:38 编辑

诶？之前调API强制重启的，现在怎么又用命令行了（）

另外火绒捉漏洞驱动后没有捉掉进程，所以后面一直重复隔离/拦截了

火绒
扫描：MISS ALL
运行：

软件包安装程序 (2).msi

防护项目：服务/驱动配置项
操作类型：修改
数据内容：cmd.exe /c start /B "" "C:\Program Files (x86)\Windows NT\update.exe" inst
目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CleverSoarInst\ImagePath
操作结果：已阻止

复制代码

防护项目：服务/驱动配置项
操作类型：修改
数据内容：cmd /c start shutdown -f -r -t 00
目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MagiskQvmSvc_117546\ImagePath
操作结果：已阻止

复制代码

复制代码

复制代码

防护项目：服务/驱动配置项
操作类型：修改
数据内容：cmd /c start sc create CleverSoar displayname= CleverSoar binPath= "C:\Program Files (x86)\Windows NT\tProtect.dll" type= kerne
目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MagiskQvmSvc_178406\ImagePath
操作结果：已阻止

复制代码

防护项目：服务/驱动配置项
操作类型：修改
数据内容：cmd /c start sc start CleverSoar
目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MagiskQvmSvc_180953\ImagePath
操作结果：已阻止

复制代码

复制代码

显示全部楼层 · 发表于 2024-9-20 12:37:42

3个双击，卡巴杀了两个运行后的释放文件，剩下一个跑不起来，又是反虚拟机

显示全部楼层 · 发表于 2024-9-20 12:38:34

UNknownOoo 发表于 2024-9-20 12:37
诶？之前调API强制重启的，现在怎么又用命令行了（）

另外火绒捉漏洞驱动后没有捉掉进程，所以后面一直 ...

因为换驱动了，这个DLL就肯定不是之前那个驱动

显示全部楼层 · 发表于 2024-9-20 12:40:08

00006666 发表于 2024-9-20 12:38
因为换驱动了，这个DLL就肯定不是之前那个驱动

是驱动对抗吗，好久没见到这么有水平的病毒了

显示全部楼层 · 发表于 2024-9-20 12:42:07

本帖最后由 00006666 于 2024-9-20 12:43 编辑

星神不灭发表于 2024-9-20 12:40
是驱动对抗吗，好久没见到这么有水平的病毒了

也不算驱动对抗，银狐都是用漏洞驱动来结束进程，而且漏洞驱动载起来，驱动文件本身是没有保护的，以前那种复杂的rootkit会有各种劫持、拦截、文件重定向，银狐用的漏洞驱动实现不了这些功能，差多了，而且银狐都是用一些开源的反EDR项目里面的漏洞驱动……

显示全部楼层 · 发表于 2024-9-20 12:46:43

[病毒样本] 银狐3X