首页
论坛
专栏
课程

[系统底层] [讨论]某 免杀 文件过滤流氓驱动

2016-8-10 15:54 5336

[系统底层] [讨论]某 免杀 文件过滤流氓驱动

2016-8-10 15:54
5336
背景是这样的:
1.某Gost系统安装后内置了一个文件过滤驱动。
1.此驱动会保护自身文件不被删除,不被发现,比如360在杀毒是访问到了被保护文件就会被重定向到微软的系统文件,从而完美实现免杀。

系统样本:
链接:http://pan.baidu.com/s/1eR2akoi 密码:ho15   备注:此系统内置PE有问题 需要自己用其他PE来安装  否则可能会出现进去之后不管点击哪个选项都会卡住的问题

先上此驱动注册的过滤图:

再上XT下的驱动文件图:


可以看到,此文件XT以及其他内核工具都无法找到他的文件位置,初步判断此文件优先级足够的高,不排除比360驱动优先级高的可能,目前小弟需要找到他的文件在哪里,所以前来发帖求助。
提供一些思路,方法,工具拉

.......

[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (17)
zkek 2016-8-10 16:08
2
0
可不可以把硬盘挂到其他系统下,比如PE或者linux或者其他windows系统下,搜索文件名??
机械瞑衍 2016-8-10 16:43
3
0
它显示的文件名不一定是真的 尝试过在PE中找了 但是没找到
ZXY啪啪啪 2016-8-10 16:53
4
0
驱动加载应该是在注册表中的  你找不到可能是因为他过滤自己
iceway 2016-8-10 17:02
5
0
先摘掉他的过滤驱动再看看
机械瞑衍 2016-8-10 17:07
6
0
摘掉了 依然找不到文件 应该是运行后就把自己删除了
goddkiller 2016-8-10 17:16
7
0
双机调试驱动创建那里
然后COPY一份它的文件
ChengQing 2016-8-10 17:17
8
0
发下样本 看看  把你的GHOST系统哪下的发下也行啊
机械瞑衍 2016-8-10 17:19
9
0
太大了 有人会去下载看吗? 你们要是想看看我就打包上传一晚上。。。。
机械瞑衍 2016-8-10 17:20
10
0
驱动创建?没明白额  ,这个是gost系统 直接内置在系统内的
靴子 2016-8-10 17:26
11
0
我才用XT 看了我的几台win7机器和虚拟机 都有这类似这样的3个驱动 。应该是正常的吧
机械瞑衍 2016-8-10 17:34
12
0
还不确定  挂钩的到底是哪个驱动 已经删遍了  还没找到
靴子 2016-8-10 17:40
13
0
上传的附件:
机械瞑衍 2016-8-10 17:58
14
0
[QUOTE=靴子;1440642][/QUOTE]

babalove 2016-8-10 21:19
15
0
http://bbs.pediy.com/archive/index.php?t-191006.html
hzqst 3 2016-8-11 20:10
16
0
LZ肯定没试过MSDN的系统镜像,不然肯定会说微软在系统镜像里下毒了
iceway 2016-8-11 20:27
17
0
你说的三个驱动,是正规的驱动,,,,你看名字啊哥哥
wanjumuma 2016-8-11 23:42
18
0
把最后一个dump上来看看
游客
登录 | 注册 方可回帖
返回