针对类似银狐让360卫士和急救箱无法启动的处理

wowocock

一直以来，比较麻烦的是木马进来了，然后通过注入LSASS或加载白利用驱动来杀360进程的，一直很麻烦。虽然急救箱被禁后，可以改名，但也有影响，特别是别人能拿到你的文件，根据特征来杀你。毕竟安全软件都有签名。以前32位下好歹还能隐藏进程，但到64位下麻烦了点，所以现在整个64位下隐藏360进程的驱动，加载驱动后，不用重启，即可用卫士和急救箱查杀木马了。
使用方法
1，以管理员权限运行 drvinst.exe
2，点... ，选择驱动文件
3，点安装，
4，点启动
5，启动安全卫士或急救箱扫描

QVM360

蓝奏云：https://mc163.lanzoue.com/iOwxU2o3hfjg

7740248

如果中招，我还是在PE下杀毒吧

wowocock

7740248 发表于 2024-11-22 10:54
如果中招，我还是在PE下杀毒吧

多一种处理方案而已。而且很多时候没拉黑的话，你PE下也处理不了。

驭龙

这技术不错，太牛了，以后会内置在卫士里吗？

wowocock

驭龙 发表于 2024-11-22 10:57
这技术不错，太牛了，以后会内置在卫士里吗？

内置没意义，因为你只要有任何官方的方式存在，别人就能让你起不来。

驭龙

wowocock 发表于 2024-11-22 10:58
内置没意义，因为你只要有任何官方的方式存在，别人就能让你起不来。

有道理，他们会针对处理，这些人专门针对卫士，你们也太不容易了

桔梗想见雪

我看到的360咋都是32位（360企业安全云）

天河二号

感谢分享

ongarabazanade

感谢分享，这东西太好了，收藏一下，以后估计能用上

King、暮光

昨天才被银狐干废，急救箱杀完之后一直蓝屏，干脆直接重装。不然就能试试新工具了

kaba666

我测了那没多银狐，没见有多牛逼，就是利用了那么多白驱动，加载了驱动的，都不见得多牛逼，360就这么不堪一击

wowocock

King、暮光 发表于 2024-11-22 11:46
昨天才被银狐干废，急救箱杀完之后一直蓝屏，干脆直接重装。不然就能试试新工具了

应该还不会蓝屏，而是无限重启，因为木马R3没干掉，木马驱动干掉导致木马R3，会让你无限重启。这个用急救箱扫到木马后，不能立刻重启，要继续扫下去才行，否则R3木马还在。所以有这个问题。所以可以用卫士来处理比较好。急救箱侧重点在于干驱动。

wowocock

King、暮光 发表于 2024-11-22 11:46
昨天才被银狐干废，急救箱杀完之后一直蓝屏，干脆直接重装。不然就能试试新工具了

已经让360的客户试了好几个用户了。都可以。以后类似的都可以这样处理。

wowocock

kaba666 发表于 2024-11-22 11:57
我测了那没多银狐，没见有多牛逼，就是利用了那么多白驱动，加载了驱动的，都不见得多牛逼，360就这么不堪 ...

和不堪一击没关系，别人在你前面进来了，想干你这种很容易。所以大家为什么那么看重主防。而且官方要求不能把用户电脑当战场。所以很多时候是有技术也不敢用。

ジ蓅暒划过づ

银狐就是专门针对360的

King、暮光

wowocock 发表于 2024-11-22 11:57
应该还不会蓝屏，而是无限重启，因为木马R3没干掉，木马驱动干掉导致木马R3，会让你无限重启。这个用急救 ...

我记得急救箱杀了一个png,一个td什么的dll，还有一个忘了，重启之后开始蓝屏，原因多种多样，其中就有银狐的sys导致的蓝屏，安全模式都进不去。

tdsskiller

kaba666 发表于 2024-11-22 11:57
我测了那没多银狐，没见有多牛逼，就是利用了那么多白驱动，加载了驱动的，都不见得多牛逼，360就这么不堪 ...

换谁来被国人针对一下都老实了，不要怀疑国人的逆天针对

kaba666

tdsskiller 发表于 2024-11-22 13:31
换谁来被国人针对一下都老实了，不要怀疑国人的逆天针对

他搞针对，你就搞反针对，一物降一物

tdsskiller

kaba666 发表于 2024-11-22 13:53
他搞针对，你就搞反针对，一物降一物

然而正规软件天生吃亏，散了吧

QVM360

King、暮光 发表于 2024-11-22 11:46
昨天才被银狐干废，急救箱杀完之后一直蓝屏，干脆直接重装。不然就能试试新工具了

驱动没删干净？还有你是实体机双击了？