查看: 5162|回复: 109
收起左侧

[可疑文件] GqD8i1szV.exe 测试卡巴应用程序控制、防火墙(增加卡巴系统监控测试 、SSF测试)

[复制链接]
墨家小子
发表于 2017-7-11 07:55:47 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2017-7-11 08:54 编辑

https://mega.nz/#!MD53Sbob!YGDJR ... 384JDrFbNzy48IHae6Q

测试之前样本并未上传VT并关闭卡吧云,双击之后样本启动,之后样本启动svchost,程序控制没有反应,防火墙没有反应,具体行为不明
更新测试:
断网测试卡巴系统监控,截图如下:

增加SSF最新版测试,看来SSF是同意费尔的




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Dolby123
发表于 2017-7-11 09:36:03 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-13 21:46:38 | 显示全部楼层

嘿嘿  ……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
B100D1E55
发表于 2017-7-14 09:55:16 | 显示全部楼层
墨家小子 发表于 2017-7-14 08:06
你怎么会点到手软,我测试截图从头到尾就这三张

换到win10下拦截到了……

win7下很灵异,我之前试过ess8,结果弹窗居然直接被绕过了……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
引领四基生活
发表于 2017-7-11 08:12:33 | 显示全部楼层
分流
费尔

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-11 08:19:06 | 显示全部楼层

卡巴默认的是启动其他程序,费尔提示的是修改系统进程有意思 有意思
B100D1E55
发表于 2017-7-11 08:42:14 | 显示全部楼层
3月ESET报Spy.Ursnif.AO
墨家小子
 楼主| 发表于 2017-7-11 08:55:11 | 显示全部楼层
B100D1E55 发表于 2017-7-11 08:42
3月ESET报Spy.Ursnif.AO

正好测试一下eset的hips啊
B100D1E55
发表于 2017-7-11 09:00:44 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-7-11 09:36 编辑
墨家小子 发表于 2017-7-11 08:55
正好测试一下eset的hips啊

没办法。。3月已经是我手头最早的snapshot了
看到了NtWriteVirtualMemory?还搞了一个svchost……
墨家小子
 楼主| 发表于 2017-7-11 09:01:33 | 显示全部楼层
B100D1E55 发表于 2017-7-11 09:00
没办法。。3月已经是我手头最早的snapshot了
貌似是通过CreateRemoteThread和NtQueueApcThread进 ...

那不正好吗?
B100D1E55
发表于 2017-7-11 09:13:07 | 显示全部楼层

晕。。HIPS智能模式下没有任何反应,交互模式下询问点到手软,感觉这种情况下没有任何实用价值。我得研究一下正确的使用方式……
墨家小子
 楼主| 发表于 2017-7-11 09:15:19 | 显示全部楼层
B100D1E55 发表于 2017-7-11 09:13
晕。。HIPS智能模式下没有任何反应,交互模式下询问点到手软,感觉这种情况下没有任何实用价值。我得研究 ...

哈哈哈 交互模式你就看看有没有拦截样本注入修改svchost的弹窗就行,别的不重要
再有交互模式之前,你得开学习模式
ccboxes
发表于 2017-7-11 09:16:54 | 显示全部楼层
墨家小子 发表于 2017-7-11 08:19
卡巴默认的是启动其他程序,费尔提示的是修改系统进程有意思 有意思

测得不对,卡巴默认是允许低限制组程序启动其他进程的,默认设置下不会拦截样本启动svchost,但接下来样本试图利用svchost联网时卡巴就会提示被受限制程序启动的svchost试图联网。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-24 16:26 , Processed in 0.117160 second(s), 8 queries , MemCache On.

快速回复 返回顶部 返回列表