Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

进入内核模式时,火绒报毒删除了MicrosoftDoSvc.sys文件,无法进入内核模式,添加信任文件后功能正常 #205

Open
hexiyou opened this issue Sep 10, 2024 · 8 comments
Open

进入内核模式时,火绒报毒删除了MicrosoftDoSvc.sys文件,无法进入内核模式,添加信任文件后功能正常 #205

hexiyou opened this issue Sep 10, 2024 · 8 comments

Comments

@hexiyou
Copy link

hexiyou commented Sep 10, 2024
edited
Loading

OpenArk版本:V1.3.6
操作系统版本:Win11专业版23H2

进入内核模式时,会生成临时文件MicrosoftDoSvc.sys到AppData目录,被火绒报毒隔离,无法进入安全模式;

生成临时文件路径:

C:\Users\Administrator\AppData\Roaming\OpenArk\kernel\MicrosoftDoSvc.sys

火绒报毒日志截图:
image

报毒日志信息如下:

病毒名称:Exploit/Vulndriver
病毒ID:5EF79DBDE4400486
病毒路径:C:\Users\Administrator\AppData\Roaming\OpenArk\kernel\MicrosoftDoSvc.sys
操作类型:修改 
操作结果:已处理,删除文件

进程ID:43792
操作进程:H:\cygwin64\v\windows\OpenArk\OpenArk-v1.3.0\OpenArk64.exe
操作进程命令行:"H:\cygwin64\v\windows\OpenArk\OpenArk-v1.3.0\OpenArk64.exe" 
父进程ID:84372
父进程:H:\cygwin64\usr\local\bin\gsudo.exe

将该文件添加到信任区后可正常使用“进入内核模式”;
image
@1592363624
Copy link

+1

@PUIPUL
Copy link

PUIPUL commented Sep 15, 2024

你在这个系统版本下能查看系统热键码?

@1592363624
Copy link

你在这个系统版本下能查看系统热键码?

不能 有些快捷键看不见

@hexiyou
Copy link
Author

hexiyou commented Sep 16, 2024

你在这个系统版本下能查看系统热键码?

可以,添加驱动文件信任以后,进入内核模式就可以
image

@freemagnet
Copy link

我的系统WIN10 X64 LTSC版本,火绒添加不了信息,提示:路径不存在

@freemagnet
Copy link

火绒直接添不了信任,从隔离区恢复才能添加信任

@Piiij-X
Copy link

Piiij-X commented Nov 11, 2024

卡巴斯基添加信任,关闭后还是进入不了内核

@proteincontent
Copy link

火绒直接添不了信任,从隔离区恢复才能添加信任
可是我恢复区里没有了,请问这该怎么办啊?
image
image
image

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
6 participants
@hexiyou @freemagnet @1592363624 @PUIPUL @proteincontent @Piiij-X