查看: 11582|回复: 109
收起左侧

[可疑文件] GqD8i1szV.exe 测试卡巴应用程序控制、防火墙(增加卡巴系统监控测试 、SSF测试)

[复制链接]
墨家小子
发表于 2017-7-11 07:55:47 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2017-7-11 08:54 编辑

https://mega.nz/#!MD53Sbob!YGDJR ... 384JDrFbNzy48IHae6Q

测试之前样本并未上传VT并关闭卡吧云,双击之后样本启动,之后样本启动svchost,程序控制没有反应,防火墙没有反应,具体行为不明
更新测试:
断网测试卡巴系统监控,截图如下:

增加SSF最新版测试,看来SSF是同意费尔的




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Dolby123
发表于 2017-7-11 09:36:03 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-13 21:46:38 | 显示全部楼层

嘿嘿  ……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
B100D1E55
发表于 2017-7-14 09:55:16 | 显示全部楼层
墨家小子 发表于 2017-7-14 08:06
你怎么会点到手软,我测试截图从头到尾就这三张

换到win10下拦截到了……

win7下很灵异,我之前试过ess8,结果弹窗居然直接被绕过了……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
引领五基生活
发表于 2017-7-11 08:12:33 | 显示全部楼层
分流
费尔

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-11 08:19:06 | 显示全部楼层

卡巴默认的是启动其他程序,费尔提示的是修改系统进程有意思 有意思
B100D1E55
发表于 2017-7-11 08:42:14 | 显示全部楼层
3月ESET报Spy.Ursnif.AO
墨家小子
 楼主| 发表于 2017-7-11 08:55:11 | 显示全部楼层
B100D1E55 发表于 2017-7-11 08:42
3月ESET报Spy.Ursnif.AO

正好测试一下eset的hips啊
B100D1E55
发表于 2017-7-11 09:00:44 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-7-11 09:36 编辑
墨家小子 发表于 2017-7-11 08:55
正好测试一下eset的hips啊

没办法。。3月已经是我手头最早的snapshot了
看到了NtWriteVirtualMemory?还搞了一个svchost……
墨家小子
 楼主| 发表于 2017-7-11 09:01:33 | 显示全部楼层
B100D1E55 发表于 2017-7-11 09:00
没办法。。3月已经是我手头最早的snapshot了
貌似是通过CreateRemoteThread和NtQueueApcThread进 ...

那不正好吗?
B100D1E55
发表于 2017-7-11 09:13:07 | 显示全部楼层

晕。。HIPS智能模式下没有任何反应,交互模式下询问点到手软,感觉这种情况下没有任何实用价值。我得研究一下正确的使用方式……
墨家小子
 楼主| 发表于 2017-7-11 09:15:19 | 显示全部楼层
B100D1E55 发表于 2017-7-11 09:13
晕。。HIPS智能模式下没有任何反应,交互模式下询问点到手软,感觉这种情况下没有任何实用价值。我得研究 ...

哈哈哈 交互模式你就看看有没有拦截样本注入修改svchost的弹窗就行,别的不重要
再有交互模式之前,你得开学习模式
ccboxes
发表于 2017-7-11 09:16:54 | 显示全部楼层
墨家小子 发表于 2017-7-11 08:19
卡巴默认的是启动其他程序,费尔提示的是修改系统进程有意思 有意思

测得不对,卡巴默认是允许低限制组程序启动其他进程的,默认设置下不会拦截样本启动svchost,但接下来样本试图利用svchost联网时卡巴就会提示被受限制程序启动的svchost试图联网。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-30 02:55 , Processed in 0.134400 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表