样本1X

GDHJDSYDH

EIS扫描miss，自制鉴定恶意，应该是银狐

Rukia

wowocock 发表于 2025-7-29 11:57
把驱动发上来。

解压密码 infected
应该是这个

jxfaiu

实机双击

wowocock

ulyanov2233 发表于 2025-7-29 12:08
肉鸡哥，给你提取出来了

__int64 __fastcall DevCtrl(__int64 DevicdObject, IRP *Irp)
{
  struct _IO_STACK_LOCATION *CurrentStackLocation; // rax
  struct _IRP *MasterIrp; // rcx
  DWORD Ctrlcode; // r8d
  ULONG InLenght; // edx
  unsigned int v7; // ebx
  unsigned int v8; // eax

  CurrentStackLocation = Irp->Tail.Overlay.CurrentStackLocation;
  MasterIrp = Irp->AssociatedIrp.MasterIrp;
  Irp->IoStatus.Information = 0i64;
  Ctrlcode = CurrentStackLocation->Parameters.Read.ByteOffset.LowPart;
  InLenght = CurrentStackLocation->Parameters.Create.Options;
  v7 = 0xC000000D;
  if ( Ctrlcode == 0x800024B4 )
  {
    if ( InLenght == 4 )
    {
      v8 = TerminateProcessByPid((HANDLE)*(unsigned int *)&MasterIrp->Type);
      goto LABEL_7;
    }
  }
  else if ( Ctrlcode == 0x800024B8 && InLenght == 4 )
  {
    v8 = sub_15370((HANDLE)*(unsigned int *)&MasterIrp->Type);
LABEL_7:
    v7 = v8;
  }
  Irp->IoStatus.Status = v7;
  IofCompleteRequest(Irp, 0);
  return v7;
}
__int64 __fastcall TerminateProcessByPid(HANDLE ProcessId)
{
  NTSTATUS v1; // ebx
  PEPROCESS Process; // [rsp+58h] [rbp+10h] BYREF
  HANDLE ProcessHandle; // [rsp+60h] [rbp+18h] BYREF

  Process = 0i64;
  ProcessHandle = 0i64;
  if ( !(_DWORD)ProcessId || (_DWORD)ProcessId == 4 )
    return 3221225485i64;
  v1 = PsLookupProcessByProcessId((HANDLE)(unsigned int)ProcessId, &Process);
  if ( !v1 )
  {
    v1 = ObOpenObjectByPointer(Process, 0x200u, 0i64, 0x1FFFFFu, 0i64, 0, &ProcessHandle);
    if ( v1 >= 0 )
      v1 = ZwTerminateProcess(ProcessHandle, 0);
  }
  if ( Process )
    ObfDereferenceObject(Process);
  if ( ProcessHandle )
    ZwClose(ProcessHandle);
  return (unsigned int)v1;
}
的确是杀进程的漏洞驱动，我让他们加下库。

御坂14857号

微步判定银狐
https://s.threatbook.com/report/ ... 1f613c63100bd87f31f

请叫我德玛西亚

瑞星kill，双击sep寄

a233

Avast

ulyanov2233

卡巴对自己的主防很自信，说不拉黑这个驱动，其实拉黑也可以，百度杀毒死了快八年了，除了病毒也没人用了吧。。。

尊敬的用户您好！

感谢等候

您好，专家已回复，反馈该软件本身是合法软件，不是病毒恶意软件，因此检测结果是正确的，但是您反馈的被恶意程序利用来攻击杀软的恶意行为已经被卡巴斯基检测到然后进行查杀拦截，所以您不需要担心的，请知悉

谢谢

Jack


如果建议给您的解决方案没有帮助或您需要更多的信息，请回复这封邮件。
我们提醒您，您可以通过邮件联系 Kaspersky 技术支持（如果通过邮件联系我们，请您不要修改邮件主题），如果您在我们的门户网站创建过问题，您可以查看下方链接并快速回复您的问题。


如果我们在 15 日内没有收到您的回复，您的问题将会关闭。

最诚挚的问候，
技术支持团队
Kaspersky

hellohere

essp elg杀 7/29/2025 4:37:10 PM;ESET LiveGuard;文件;C:\Users\guo\Downloads\infected2025072901\710_20250725_A01.exe;ESET LiveGuard 特洛伊木马;已删除;;;3F6E5613E7003BB2C69FCFA23DEF068E7560B714;7/29/2025 4:36:38 PM

Rukia

ulyanov2233 发表于 2025-7-29 15:51
卡巴对自己的主防很自信，说不拉黑这个驱动，其实拉黑也可以，百度杀毒死了快八年了，除了病毒也没人用了吧 ...

https://www.virustotal.com/gui/f ... 4acffdc0e4a2a6df2d0
这个驱动我以前也上报给卡包，也不拉黑驱动。