GqD8i1szV.exe 测试卡巴应用程序控制、防火墙（增加卡巴系统监控测试、SSF测试）

显示全部楼层 · 发表于 2017-7-11 09:37:11

B100D1E55 发表于 2017-7-11 09:31
hmm是的。。不过我后续没看到弹窗了。重新运行一次看看

你新建一个规程，并把修改其他程序这一项改成询问，建立在自动模式下

这个最简单明了，有注入eset就会拦截的

显示全部楼层 · 发表于 2017-7-11 09:39:20

墨家小子发表于 2017-7-11 09:33
没错，样本启动conhost.exe，SSF并没有拦截到
你这是全手动吧？怎么没看到对svchost的操作

似乎卡巴默认不拦截conhost对svchost的注入（估计因为是完全正常的行为）但仍然给出了提示。

显示全部楼层 · 发表于 2017-7-11 09:40:41

Dolby123 发表于 2017-7-11 09:36

果然不粗我所料 EMSI会有拦截注入的弹窗，现在是费尔 ssf EMSI 一个阵营，ESET待定，卡巴需要伙伴支持了

显示全部楼层 · 发表于 2017-7-11 09:41:01

墨家小子发表于 2017-7-11 09:33
没错，样本启动conhost.exe，SSF并没有拦截到
你这是全手动吧？怎么没看到对svchost的操作

如果允许的话，接下来就会触发SW

显示全部楼层 · 发表于 2017-7-11 09:42:20

ccboxes 发表于 2017-7-11 09:39
似乎卡巴默认不拦截conhost对svchost的注入（估计因为是完全正常的行为）但仍然给出了提示。

卡巴手动档无敌了，继承派牛逼

显示全部楼层 · 发表于 2017-7-11 09:42:35

墨家小子发表于 2017-7-11 09:37
你新建一个规程，并把修改其他程序这一项改成询问，建立在自动模式下这个最简单明了，有注入eset就 ...

我之前试过了，总之交互下我就看到这四个

：

显示全部楼层 · 发表于 2017-7-11 09:43:02

ccboxes 发表于 2017-7-11 09:41
如果允许的话，接下来就会触发SW

不提SW，那个超级变态的

显示全部楼层 · 发表于 2017-7-11 09:46:36

B100D1E55 发表于 2017-7-11 09:42
我之前试过了，总之交互下我就看到这四个：

看来ESET并没有很好的解释svchost是如何被控制的

失望

显示全部楼层 · 发表于 2017-7-11 09:54:07

墨家小子发表于 2017-7-11 09:42
卡巴手动档无敌了，继承派牛逼

不过目前2017的应用程序控制我认为HOOK的函数还是不够，截获的命令不详细。2018似乎加强了监控，增加了注入，等新版本再看。

你看我上几个截图有的操作卡巴就不能给出操作目标。

显示全部楼层 · 发表于 2017-7-11 09:55:36

[可疑文件] GqD8i1szV.exe 测试卡巴应用程序控制、防火墙（增加卡巴系统监控测试、SSF测试）