针对类似银狐让360卫士和急救箱无法启动的处理

QVM360

蓝奏云：https://mc163.lanzoue.com/iGCCC2fuujah

QVM360

wowocock 发表于 2024-11-22 11:57
应该还不会蓝屏，而是无限重启，因为木马R3没干掉，木马驱动干掉导致木马R3，会让你无限重启。这个用急救 ...

人家是蓝屏了，估计就是驱动问题。银狐检测到驱动没加载是会重启但是不是蓝屏

QVM360

King、暮光 发表于 2024-11-22 12:18
我记得急救箱杀了一个png,一个td什么的dll，还有一个忘了，重启之后开始蓝屏，原因多种多样，其中就有银 ...

tProtect.dll吗

QVM360

King、暮光 发表于 2024-11-22 12:18
我记得急救箱杀了一个png,一个td什么的dll，还有一个忘了，重启之后开始蓝屏，原因多种多样，其中就有银 ...

你试试看能不能找到那个sys，去PE删掉

King、暮光

QVM360 发表于 2024-11-22 14:56
tProtect.dll吗

对，就叫这个。我不知道是不是我U盘的问题，做的PE也进不去。最后只好重置系统

wwwab

仅匹配360的进程名吗？那样子的话如果有病毒改名叫360Tray.exe然后加载这个驱动是否存在被利用的风险？

QVM360

wwwab 发表于 2024-11-22 17:07
仅匹配360的进程名吗？那样子的话如果有病毒改名叫360Tray.exe然后加载这个驱动是否存在被利用的风险？

捉w总

wowocock

wwwab 发表于 2024-11-22 17:07
仅匹配360的进程名吗？那样子的话如果有病毒改名叫360Tray.exe然后加载这个驱动是否存在被利用的风险？

可以用来隐藏自己，不过驱动没加白，没法常驻。也不会作为官方发布。如同那些激活工具，会被报，自己用时信任下。

tdsskiller

kaba666 发表于 2024-11-22 13:53
他搞针对，你就搞反针对，一物降一物

现在有空补充了。楼主早就说明过这个问题，恶意软件可以用任何手段针对，而正规软件限制非常大。

比如木马可以无签名加载驱动，敲掉各种钩子，进程，暴力扫描进程等等的。你正规软件是不能这么做的。反作弊已经很逆天了，扫盘扫驱动等等，但是还是止不住逆天挂壁掏出些无解的东西。杀软一个都没有反作弊那种水平，而且反作弊可以和游戏绑定启动关闭。杀软不能和系统绑定启动关闭，容易被拉黑和定点清除。
一般来说，针对拉黑和定点清除太简单了，你也来一个无签名加载驱动，然后拉起无签名的exe，exe劫持系统文件幽灵启动，利用无签名驱动不受微软限制开始搞隐藏进程/线程，和驱动劫持来反制，木马拿你一点办法都没有。就算是木马禁止userinit启动后所有驱动加载也会被一些mapper通过内核漏洞打穿，人家boot start顺序为8还破坏elam那种，也会被efi的后门乱穿（boothole系列无孔不入）。

然而正规软件不能使用这些招数。还是那句话，严重的话只能PE，没有办法做内核对抗，所以防御非常重要。

Wama

King、暮光 发表于 2024-11-22 11:46
昨天才被银狐干废，急救箱杀完之后一直蓝屏，干脆直接重装。不然就能试试新工具了

是用的EIS吗？