一个专测OP防火墙的老样本，给OP用户（结论错误，抱歉）

saga3721

hj5abc 发表于 2011-6-2 18:17
如果禁用了打印机服务会怎样？

PS.这个是TDSS吧

是TDSS
禁用了自然就没法打印了，没有打印机的禁用没问题。
OPfree阻止注入spoolsv后spoolsv的原规则不变，应该防住了。OPpro下第一个弹框就是spool往system里写东西了，而且联网带直接磁盘操作，原规则改变，显然被注入了。

xiaoxmj

山山报毒

hj5abc

saga3721 发表于 2011-6-2 23:16
是TDSS
禁用了自然就没法打印了，没有打印机的禁用没问题。
OPfree阻止注入spoolsv后spoolsv的原规则不 ...

启动时先释放某tmp，注入spoolsv.exe吧；
如果禁用打印机服务那就没有spoolsv进程，那怎么注入？

saga3721

hj5abc 发表于 2011-6-2 23:46
启动时先释放某tmp，注入spoolsv.exe吧；
如果禁用打印机服务那就没有spoolsv进程，那怎么注入？

样本以何种方式注入这我没研究过
禁用了我想自然就无法注入了，然而我还没有试过，因为我恰巧经常会用到打印，所以对我而言不能将打印机后台服务禁用的

saga3721

hj5abc 发表于 2011-6-2 23:46
启动时先释放某tmp，注入spoolsv.exe吧；
如果禁用打印机服务那就没有spoolsv进程，那怎么注入？

情况有变
想起来可以在VM里试试，于是VM里禁用了spoolsv的服务后运行样本，想不到禁用之后OPpro竟然可以拦截了！大概此样本开启spoolsv服务就注入，禁用就加驱，如果不拦截加驱系统便会重启。
虽然OPpro在系统禁用spoolsv服务时能拦截加驱，但是服务开启时没法拦截，看起来防注入还是输了OPfree一筹

网名丢失

毛豆毛豆怎么没有人来测试毛豆呀

saga3721

hj5abc 发表于 2011-6-2 23:46
启动时先释放某tmp，注入spoolsv.exe吧；
如果禁用打印机服务那就没有spoolsv进程，那怎么注入？

多谢鼓励
那个拦截加载服务或驱动是拦截样本企图加载的假的打印驱动，不拦截就会重启那就代表中招了。
但是OPPRO是在关闭真正的spoolsv服务后才能拦截的，若在开启状态就会被注入了，看来还是不如OPfree

saga3721

不好意思，结论错误，具体请看顶楼

yyylll66

鬼影 早期的TDSS 已验证~！

saga3721

yyylll66 发表于 2011-6-3 22:33
鬼影 早期的TDSS 已验证~！

知道了，原来系出名门……配上你斩钉截铁，振聋发聩的鉴定，可谓点铁成金～