360防御测试

显示全部楼层 · 发表于 2017-2-24 20:37:15

样本来自http://bbs.kafan.cn/thread-2078311-1-1.html
现在提出来
样本危险请勿实机测试

测试前，先看一个介绍
http://www.myhack58.com/Article/60/63/2016/78145_2.htm

这里是做什么的可以百度
这是之前同样一个手法的样本
http://bbs.kafan.cn/thread-2076576-1-1.html

然后在用这个测试看下360是有这个拦截点

现在开始测试360在实际中能否拦截这里
测试前，先关闭360自保，关闭云安全计划，删除qvm模块，然后开启360防御测试
然后修改md5，我提供一下
把样本拖到这个批处理上就修改了

启动项拦截了（全部要点阻止），然而要测试这个关键的地方没拦截，看日志是自动允许

有兴趣的测试下你们的环境（因为我怀疑我环境造成的）但是另有环境都监控不到这步

显示全部楼层 · 发表于 2017-2-24 20:57:31

所以卡巴报的是bypassUAC吗。。。原来这样。。

显示全部楼层 · 发表于 2017-2-24 21:33:54

pal家族发表于 2017-2-24 20:57
所以卡巴报的是bypassUAC吗。。。原来这样。。

关闭UAC这个可有可无。。
这个关键点是这个注册表位置，这里是劫持系统组件，比如被篡改以后，你右键计算机管理或者打开控制面板--系统组件就会启动木马，而具体还有什么作用上面的链接里有介绍

显示全部楼层 · 发表于 2017-2-24 22:14:53

这个样本有三个在虚拟机运行不起来，微点没反应

显示全部楼层 · 发表于 2017-2-25 10:06:25

我们测试看看，感谢您的反馈.

显示全部楼层 · 发表于 2017-2-25 16:53:37

本帖最后由 360_HBM 于 2017-3-3 17:33 编辑

感谢楼主提供测试360防御的方法，之前好像楼主在其它帖子里提到过样本被360拉黑后测防御的方法，但这些帖子我都找不到了，今天终于知道这个方法了

然后，我下载了最新的360测试版，按照楼主给的方法测360能否成功拦截之前拉黑过的样本（样本链接：http://bbs.kafan.cn/thread-2076452-1-1.html），结果发现360还是像以前那样没拦截成功，说明360当时对帖子中的样本只是拉黑而没有改进防御

显示全部楼层 · 发表于 2017-2-25 17:20:54

360_HBM 发表于 2017-2-25 16:53
感谢楼主提供测试360防御的方法，之前好像楼主在其它帖子里提到过样本被360拉黑后测防御的方法，但这些帖子 ...

已经修改，近期会发布升级，感谢您的反馈.

显示全部楼层 · 发表于 2017-2-25 17:35:51

本帖最后由 360_HBM 于 2017-3-3 17:34 编辑

360主动防御发表于 2017-2-25 17:20
已经修改，近期会发布升级，感谢您的反馈.

http://bbs.360.cn/thread-14813731-1-1.html 另外这个帖子里的样本也是只拉黑而主防不能拦的，顺便也处理下吧

[其他相关] 360防御测试

本帖子中包含更多资源