WSYSCHECK和POWERTOOL2.3 、狙剑被绕过了，天琊、YAS、SysReveal、XUETR、冰刃可测

显示全部楼层 · 发表于 2010-10-10 20:32:46

回复 20楼 evilrabbit 的帖子

那能不能麻烦你到干净状态再运行一遍，用XUETR截图上来瞧瞧那个DLL是不是红色的，是不是每次命名都不一样，如果都不是的话，就不是指的同一个DLL了。

显示全部楼层 · 发表于 2010-10-10 20:50:20

回复 21楼 leisong 的帖子

楼上回复过了，呵呵、。。刚回复完，刷一下帖子就看到你回帖了、

显示全部楼层 · 发表于 2010-10-10 23:08:14

我了个去，都是高手啊

显示全部楼层 · 发表于 2010-10-11 10:16:22

本帖最后由 leisong 于 2010.10.11 10:19 编辑

evilrabbit 发表于 2010.10.10 19:22
看了下，加载dll根本没用什么特殊的方法吧，是个ark估计就能检测到

http://bbs.kafan.cn/thread-806674-3-1.html
请看此贴29F，你所贴的DLL和他是一样的，和另外3个TP开头的都是白文件（应该是VM的文件吧），再看20F的贴图，清楚看到那个欲注入的病毒DLL，不是你那个TP开头的白文件
再看39F大牛的评论：
===================================
这个没有看过，不过系统本身、SYSCHECK是很容易被绕过的，DLL加载后做一个脱链的操作就可以让这些无法识别出来，你可以配合ICESWORD看看是否和XUETR的结果相同，如果相同就说明确实是如此。
=============================================
大牛就是大牛，我半信半疑试了下都几年未更新的冰刃，果然没绕过强大的冰刃，特此致敬！

再看下http://bbs.kaspersky.com.cn/viewthread.php?tid=455139 这里TDSS分析，如果样本完全运行了，恐怕会绕过更多的ARK工具，绝对不是你说的“加载dll根本没用什么特殊的方法吧，是个ark估计就能检测到”

显示全部楼层 · 发表于 2010-10-11 11:37:27

回复 24楼 leisong 的帖子

像我之前一样，偶这边怎么运行dll也不注入打印机....

显示全部楼层 · 发表于 2010-10-11 11:55:52

有点不懂啊试试看[:26:]

显示全部楼层 · 发表于 2010-10-11 13:43:50

本帖最后由 leisong 于 2010.10.11 13:46 编辑

回复 25楼 jinzijie 的帖子

是不是因为你禁止了这个服务，因为你在学校用不着打印机的原因，理所当然的禁止了。没相关服务当然无法注入了，而360又拦截了修改服务

不对。你分明截图打印服务启动了

显示全部楼层 · 发表于 2010-10-11 13:47:57

leisong 发表于 2010.10.11 13:43
回复 25楼 jinzijie 的帖子

是不是因为你禁止了这个服务，因为你在学校用不着打印机的原因，理所当然的禁止 ...

没有禁止偶是手动的（平时没进程，需要的时候才出现）
运行样本后 spoolsv进程是启动了的

显示全部楼层 · 发表于 2010-10-11 14:00:05

回复 24楼 leisong 的帖子

多谢，问了linxer大牛。那个dll确实是隐藏的。
样本没问题。测试的是那个样本，不过有时间你再看下过没过天琊和sysnap。你可以试试我那贴贴出来的方法。随机的命名dll，我如果只运行一次样本，根本看不到。重复运行样本，能看到那个dll。是隐藏的，以红色显示。
也是随机的文件名。不过重启后那个dll连xuetr都看不到，除非再次运行之前的样本才能看到。
不知何解。

显示全部楼层 · 发表于 2010-10-11 16:36:36

本帖最后由 leisong 于 2010.10.11 16:41 编辑

回复 29楼 evilrabbit 的帖子

感谢提醒，天琊以第二和第三种模块枚举方式确实可以检测到
YAS也可以

另外WSYSCHECK和POWERTOOL好像没有第二种枚举方式了吧，确实被过了

[讨论] WSYSCHECK和POWERTOOL2.3 、狙剑被绕过了，天琊、YAS、SysReveal、XUETR、冰刃可测

评分

评分