Forum Smadav

Antivirus Lokal & Impor => Teknologi Antivirus => Topik dimulai oleh: descrates pada Oktober 02, 2017, 06:55:21 AM

Judul: Virus berupa driver kernel ring 0 di Windows 10
Ditulis oleh: descrates pada Oktober 02, 2017, 06:55:21 AM
ada tiga cara dasar

1. lewat signature
2. lewat hooking
3. lewat heuristic

pertama lewat signature, sebenarnya ini paling susah
karena vendor AV harus dapat file-nya dulu
kedua lewat hooking, nah kalo ini sebenarnya mudah
ketiga lewat heuristic, nah kalo ini mayan mumet

btw kadang bikin gw makin penasaran (karena ada yang tanyain)
serius "masalahnya" kalo kernel ring 0, driver only (with dropper), win10 & digitally signed
kebanyakan yang digitally signed diskip apalagi win10 rada beda (katanya)
kalo hooking API heuristic yang inside di ntoskrnl? apa masih bisa?

misalnya lagi, virus detek ketikan kita ketika mau diinterupsi
kita mau ngetik ini = sc stop virusdriver
tapi karena tahu, maka virus nambahin jadi gini = sc stop virusdriberrrr

LOL
Judul: Re:Virus berupa driver kernel ring 0 di Windows 10
Ditulis oleh: 3ndiixz pada Oktober 02, 2017, 03:38:13 PM
Apakah beneran ada virusnya Om?? Bisa dikasih contohnya Om agar bisa dideteksi Smadav,
Judul: Re:Virus berupa driver kernel ring 0 di Windows 10
Ditulis oleh: Ki@mhu pada Oktober 02, 2017, 09:12:20 PM
Ini virus tipe Rootkit. Sulit sekali dapat sampelnya karena begitu telah menginfeksi, file exe langsung hilang dan hanya tersisa sampel file driver (sys) saja.
Judul: Re:Virus berupa driver kernel ring 0 di Windows 10
Ditulis oleh: indralet12 pada Maret 28, 2018, 04:36:01 PM
Ini virus tipe Rootkit. Sulit sekali dapat sampelnya karena begitu telah menginfeksi, file exe langsung hilang dan hanya tersisa sampel file driver (sys) saja.

Wah serem amat om, ada ga cara nangkalnya selain pake antivirus? bisa dibilang cara pencegahannya gitu?
Judul: Re:Virus berupa driver kernel ring 0 di Windows 10
Ditulis oleh: Ki@mhu pada Maret 29, 2018, 09:53:19 AM
Wah serem amat om, ada ga cara nangkalnya selain pake antivirus? bisa dibilang cara pencegahannya gitu?

Pencegahannya tidak susah, karena file pemancing Rootkit-nya akan seperti Trojan biasa aja, tidak ada yang spesial. AntiVirus ternama sudah cukup koq utk menangkalnya.

Jika sudah terkena pun pembersihannya tidak susah. Pakai saja Malwarebytes Anti-Rootkit.
Judul: Re:Virus berupa driver kernel ring 0 di Windows 10
Ditulis oleh: descrates pada Maret 30, 2018, 05:49:19 AM
Pencegahannya tidak susah, karena file pemancing Rootkit-nya akan seperti Trojan biasa aja, tidak ada yang spesial. AntiVirus ternama sudah cukup koq utk menangkalnya.

Jika sudah terkena pun pembersihannya tidak susah. Pakai saja Malwarebytes Anti-Rootkit.

iya juga sih kalo buat pencegahan, tapi kalo udah kena dan ngelock core driver lain lagi ceritanya, hehehe
Judul: Re:Virus berupa driver kernel ring 0 di Windows 10
Ditulis oleh: lunacyrcus pada Oktober 02, 2018, 01:24:59 AM
Rootkit itu teknik pertahanan nya...Memanipulasi fungsi windows Api