ESET防勒索锁库测试

B100D1E55

FUZE 发表于 2017-5-20 19:04
看来心态也崩了...可惜了，以后还会再写么？挺期待的...

估计要过一阵子。其实也是好事，之前写得比较粗糙，可以多看点资料后再写一遍

B100D1E55

275751198 发表于 2017-5-20 22:51
eset的防勒索hips是否就是锁死特定文件夹

肯定不是这么简单，不然新勒索应该可以检测出来。我觉得是更具体（保守）的检测特征

B100D1E55

ysj963 发表于 2017-5-20 12:56
ESET过于保守。

话说你对ESET这么感兴趣，他们有给企业版提供加强版的HIPS规则：http://www.nod32.com.hr/Portals/ ... re-techbrief_en.pdf
说不定可以参考一下

B100D1E55

ccboxes 发表于 2017-5-20 18:26
话说内存扫描应该也不是ESET的独有技术吧。相比其他安软的内存扫描，有什么独到之处呢？

话说回来，老旧AMS库能杀cerber丝毫不意外，他们的变种行为太接近了，例如从去年年底到今年5月所有的变种都有类似的网络访问之类的行为……如果AMS启发特征提得准应该能很精准地查杀。估计cerber产业化免杀都只做表层伪装，侧面说明有的安软技术太差以至于这种程度的变种都有经济价值

真小读者

ESET Internet Security - Online Help
http://help.eset.com/eis/10/zh-CN/?idh_page_tools.htm

275751198

B100D1E55 发表于 2017-5-20 22:54
肯定不是这么简单，不然新勒索应该可以检测出来。我觉得是更具体（保守）的检测特征

http://bbs.kafan.cn/thread-2069598-1-1.html

B100D1E55

乐丿莫名其妙 发表于 2017-5-20 21:32
谢谢分享 话说ees6的防御能力如何？

不清楚，因为没有ees6的授权，所以没法测试

fireherman

B100D1E55 发表于 2017-5-20 22:54
肯定不是这么简单，不然新勒索应该可以检测出来。我觉得是更具体（保守）的检测特征

ESET10的勒索防护本质上依然是HIPS（官方内置HIPS规则，看那个弹窗和用户自定义规则的弹窗（样式）是一样的），问题是这部分官方内置HIPS还嵌入其他代码用于检测未知勒索的威胁。

所以……我觉得ESET骨子里依然以启发，本地，静态扫描为重任；病毒库必须要时刻更新，即需要联网达到最高（最好）的防护效果。

这个倒没什么问题，强大如BD的ATC，SEP的Sonar，他们同样需要云（联网）；

而AMS部分则太独特，可以算是ESET的主防，他同样从属于HIPS，并内置其他代码进行检测；不过和“勒索防护”一样，也需要病毒引擎的支持。

无论是国外区那个《20款杀软主防测试》，还你的《一周前的ESET对战wannacry》……

都印证我这个伪论：ESET防护的体系核心就是TheatSense引擎

B100D1E55

ccboxes 发表于 2017-5-20 18:26
话说内存扫描应该也不是ESET的独有技术吧。相比其他安软的内存扫描，有什么独到之处呢？

我仔细想了一下，memory scan大概还是有空子可以钻的，以下是我个人的猜测
1）AMS宣称对新建内存页进行扫描，对旧页面进行缓存，但是如果对旧内存页进行篡改不知道会不会侦测
2）不知道AMS侦测颗粒度是不是仅在于页面级别，如果仅限于同一个页面，是否可以将code分散在多个页面以逃避打分器的侦测
3）一些手段或许可以阻止AMS访问自己的内存区段，但是可能有权限问题
4）完全可以做到在恶意程序中再嵌入一个emulation engine，动态解释自己的恶意代码。这样恶意程序根本不会在内存中decloak（至少不会完全decloak），应该没有杀软能扫描到这个层级。这个方法缺点在于如果emulation engine本身被入库就跪了，而emulation engine写起来成本比较高，除非有很好的变形方案

API检测还是很有必要的，希望哪一天ESET能搞一个ATC一样的东西出来

B100D1E55

fireherman 发表于 2017-5-21 00:57
ESET10的勒索防护本质上依然是HIPS（官方内置HIPS规则，看那个弹窗和用户自定义规则的弹窗（样式）是 ...

ESET还是得发展一点行为侦测，感觉AMS有自己的局限性。tube上经常会有bypass stupid advanced memory scanner的视频，虽然不知道是真是假……大部分还是波斯语或者俄语我看不懂……