Penulis Topik: Virus berupa driver kernel ring 0 di Windows 10  (Dibaca 497 kali)

Offline descrates

  • Pro500
  • ******
  • Tulisan: 615
  • Reputation: 5073
    • Lihat Profil
Virus berupa driver kernel ring 0 di Windows 10
« pada: Oktober 02, 2017, 06:55:21 AM »
ada tiga cara dasar

1. lewat signature
2. lewat hooking
3. lewat heuristic

pertama lewat signature, sebenarnya ini paling susah
karena vendor AV harus dapat file-nya dulu
kedua lewat hooking, nah kalo ini sebenarnya mudah
ketiga lewat heuristic, nah kalo ini mayan mumet

btw kadang bikin gw makin penasaran (karena ada yang tanyain)
serius "masalahnya" kalo kernel ring 0, driver only (with dropper), win10 & digitally signed
kebanyakan yang digitally signed diskip apalagi win10 rada beda (katanya)
kalo hooking API heuristic yang inside di ntoskrnl? apa masih bisa?

misalnya lagi, virus detek ketikan kita ketika mau diinterupsi
kita mau ngetik ini = sc stop virusdriver
tapi karena tahu, maka virus nambahin jadi gini = sc stop virusdriberrrr

LOL
TASKKILL /F /IM SMΔRTP.exe /T

Win7 32bit [kernel patch] --- 2x2,8GHz Intel --- 8GB RAM DDR3 --- 512MB 9600M GT NVidia --- Iron 15 beta --- Opera Mini Proxies

other OS: Lucid Puppy, XP SP2 [custom], XP SP3, Win7 64bit, Tails

Offline 3ndiixz

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.030
  • Reputation: 742
  • Jenis kelamin: Pria
  • .:: DOCTOR PENDIK ::.
    • Lihat Profil
    • Install Ulang Windows Modif XP, 7, 8.1, 10 Mojokerto
Re:Virus berupa driver kernel ring 0 di Windows 10
« Jawab #1 pada: Oktober 02, 2017, 03:38:13 PM »
Apakah beneran ada virusnya Om?? Bisa dikasih contohnya Om agar bisa dideteksi Smadav,
::: :x :x :x S.M.A.D.Δ.V [[Δ۞Δ۞Δ]] AV LOKAL :x :x :x :::
                    GO INTERNASIONAL

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.439
  • Reputation: 785
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:Virus berupa driver kernel ring 0 di Windows 10
« Jawab #2 pada: Oktober 02, 2017, 09:12:20 PM »
Ini virus tipe Rootkit. Sulit sekali dapat sampelnya karena begitu telah menginfeksi, file exe langsung hilang dan hanya tersisa sampel file driver (sys) saja.