首页
论坛
课程
招聘
雪    币: 648
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝

[系统底层] [讨论]某 免杀 文件过滤流氓驱动

2016-8-10 15:54 5672

[系统底层] [讨论]某 免杀 文件过滤流氓驱动

2016-8-10 15:54
5672
背景是这样的:
1.某Gost系统安装后内置了一个文件过滤驱动。
1.此驱动会保护自身文件不被删除,不被发现,比如360在杀毒是访问到了被保护文件就会被重定向到微软的系统文件,从而完美实现免杀。

系统样本:
链接:http://pan.baidu.com/s/1eR2akoi 密码:ho15   备注:此系统内置PE有问题 需要自己用其他PE来安装  否则可能会出现进去之后不管点击哪个选项都会卡住的问题

先上此驱动注册的过滤图:

再上XT下的驱动文件图:


可以看到,此文件XT以及其他内核工具都无法找到他的文件位置,初步判断此文件优先级足够的高,不排除比360驱动优先级高的可能,目前小弟需要找到他的文件在哪里,所以前来发帖求助。
提供一些思路,方法,工具拉

.......

[招聘]上海招聘移动逆向工程师及游戏反外挂工程师!

最新回复 (17)
雪    币: 10
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zkek 活跃值 2016-8-10 16:08
2
0
可不可以把硬盘挂到其他系统下,比如PE或者linux或者其他windows系统下,搜索文件名??
雪    币: 648
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
机械瞑衍 活跃值 2016-8-10 16:43
3
0
它显示的文件名不一定是真的 尝试过在PE中找了 但是没找到
雪    币: 243
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ZXY啪啪啪 活跃值 2016-8-10 16:53
4
0
驱动加载应该是在注册表中的  你找不到可能是因为他过滤自己
雪    币: 94
活跃值: 活跃值 (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
iceway 活跃值 2016-8-10 17:02
5
0
先摘掉他的过滤驱动再看看
雪    币: 648
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
机械瞑衍 活跃值 2016-8-10 17:07
6
0
摘掉了 依然找不到文件 应该是运行后就把自己删除了
雪    币: 481
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
goddkiller 活跃值 2016-8-10 17:16
7
0
双机调试驱动创建那里
然后COPY一份它的文件
雪    币: 443
活跃值: 活跃值 (12)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
ChengQing 活跃值 2016-8-10 17:17
8
0
发下样本 看看  把你的GHOST系统哪下的发下也行啊
雪    币: 648
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
机械瞑衍 活跃值 2016-8-10 17:19
9
0
太大了 有人会去下载看吗? 你们要是想看看我就打包上传一晚上。。。。
雪    币: 648
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
机械瞑衍 活跃值 2016-8-10 17:20
10
0
驱动创建?没明白额  ,这个是gost系统 直接内置在系统内的
雪    币: 136
活跃值: 活跃值 (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
靴子 活跃值 2016-8-10 17:26
11
0
我才用XT 看了我的几台win7机器和虚拟机 都有这类似这样的3个驱动 。应该是正常的吧
雪    币: 648
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
机械瞑衍 活跃值 2016-8-10 17:34
12
0
还不确定  挂钩的到底是哪个驱动 已经删遍了  还没找到
雪    币: 136
活跃值: 活跃值 (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
靴子 活跃值 2016-8-10 17:40
13
0
上传的附件:
雪    币: 648
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
机械瞑衍 活跃值 2016-8-10 17:58
14
0
[QUOTE=靴子;1440642][/QUOTE]

雪    币: 400
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
babalove 活跃值 2016-8-10 21:19
15
0
http://bbs.pediy.com/archive/index.php?t-191006.html
雪    币: 8578
活跃值: 活跃值 (488)
能力值: ( LV5,RANK:250 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2016-8-11 20:10
16
0
LZ肯定没试过MSDN的系统镜像,不然肯定会说微软在系统镜像里下毒了
雪    币: 94
活跃值: 活跃值 (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
iceway 活跃值 2016-8-11 20:27
17
0
你说的三个驱动,是正规的驱动,,,,你看名字啊哥哥
雪    币: 218
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wanjumuma 活跃值 2016-8-11 23:42
18
0
把最后一个dump上来看看
游客
登录 | 注册 方可回帖
返回