楼主: leisong
收起左侧

[讨论] WSYSCHECK和POWERTOOL2.3 、狙剑被绕过了,天琊、YAS、SysReveal、XUETR、冰刃可测

[复制链接]
leisong
 楼主| 发表于 2010-10-10 20:32:46 | 显示全部楼层
回复 20楼 evilrabbit 的帖子

那能不能麻烦你到干净状态再运行一遍,用XUETR截图上来瞧瞧那个DLL是不是红色的,是不是每次命名都不一样,如果都不是的话,就不是指的同一个DLL了。
evilrabbit
发表于 2010-10-10 20:50:20 | 显示全部楼层
回复 21楼 leisong 的帖子

楼上回复过了,呵呵、。。刚回复完,刷一下帖子就看到你回帖了、
唯我独尊
发表于 2010-10-10 23:08:14 | 显示全部楼层
我了个去,都是高手啊
leisong
 楼主| 发表于 2010-10-11 10:16:22 | 显示全部楼层
本帖最后由 leisong 于 2010.10.11 10:19 编辑
evilrabbit 发表于 2010.10.10 19:22
看了下,加载dll根本没用什么特殊的方法吧,是个ark估计就能检测到

http://bbs.kafan.cn/thread-806674-3-1.html
请看此贴29F,你所贴的DLL和他是一样的,和另外3个TP开头的都是白文件(应该是VM的文件吧),再看20F的贴图,清楚看到那个欲注入的病毒DLL,不是你那个TP开头的白文件
再看39F大牛的评论:
===================================
这个没有看过,不过系统本身、SYSCHECK是很容易被绕过的,DLL加载后做一个脱链的操作就可以让这些无法识别出来,你可以配合ICESWORD看看是否和XUETR的结果相同,如果相同就说明确实是如此。
=============================================
大牛就是大牛,我半信半疑试了下都几年未更新的冰刃,果然没绕过强大的冰刃,特此致敬!

再看下http://bbs.kaspersky.com.cn/viewthread.php?tid=455139 这里TDSS分析,如果样本完全运行了,恐怕会绕过更多的ARK工具,绝对不是你说的“加载dll根本没用什么特殊的方法吧,是个ark估计就能检测到”

评分

参与人数 1人气 +1 收起 理由
evilrabbit + 1 感谢解答: )

查看全部评分

jinzijie
发表于 2010-10-11 11:37:27 | 显示全部楼层
回复 24楼 leisong 的帖子

像我之前一样,偶这边怎么运行dll也不注入打印机....
荷卿
发表于 2010-10-11 11:55:52 | 显示全部楼层
有点不懂啊 试试看[:26:]
leisong
 楼主| 发表于 2010-10-11 13:43:50 | 显示全部楼层
本帖最后由 leisong 于 2010.10.11 13:46 编辑

回复 25楼 jinzijie 的帖子

是不是因为你禁止了这个服务,因为你在学校用不着打印机的原因,理所当然的禁止了。没相关服务当然无法注入了,而360又拦截了修改服务

不对。你分明截图打印服务启动了
jinzijie
发表于 2010-10-11 13:47:57 | 显示全部楼层
leisong 发表于 2010.10.11 13:43
回复 25楼 jinzijie 的帖子

是不是因为你禁止了这个服务,因为你在学校用不着打印机的原因,理所当然的禁止 ...

没有禁止 偶是手动的(平时没进程,需要的时候才出现)
运行样本后 spoolsv进程是启动了的
evilrabbit
发表于 2010-10-11 14:00:05 | 显示全部楼层
回复 24楼 leisong 的帖子

多谢,问了linxer大牛。那个dll确实是隐藏的。
样本没问题。测试的是那个样本,不过有时间你再看下过没过天琊和sysnap。你可以试试我那贴贴出来的方法 。随机的命名dll,我如果只运行一次样本,根本看不到。重复运行样本,能看到那个dll。是隐藏的,以红色显示。
也是随机的文件名。不过重启后那个dll连xuetr都看不到,除非再次运行之前的样本才能看到。
不知何解。

评分

参与人数 1人气 +1 收起 理由
leisong + 1 非常感谢,我再试试

查看全部评分

leisong
 楼主| 发表于 2010-10-11 16:36:36 | 显示全部楼层
本帖最后由 leisong 于 2010.10.11 16:41 编辑

回复 29楼 evilrabbit 的帖子

感谢提醒,天琊以第二和第三种模块枚举方式确实可以检测到
YAS也可以

另外WSYSCHECK和POWERTOOL好像没有第二种枚举方式了吧,确实被过了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 08:26 , Processed in 0.093102 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表