楼主: 墨家小子
收起左侧

[可疑文件] GqD8i1szV.exe 测试卡巴应用程序控制、防火墙(增加卡巴系统监控测试 、SSF测试)

[复制链接]
墨家小子
 楼主| 发表于 2017-7-11 09:56:48 | 显示全部楼层
ccboxes 发表于 2017-7-11 09:54
不过目前2017的应用程序控制我认为HOOK的函数还是不够,截获的命令不详细。2018似乎加强了监控,增加了注 ...

可惜的是手动挡
墨家小子
 楼主| 发表于 2017-7-11 09:58:13 | 显示全部楼层
B100D1E55 发表于 2017-7-11 09:42
我之前试过了,总之交互下我就看到这四个:

还有一种可能就是学习模式时,ESET默认了conhost对svchost的修改行为所以测试时,你看不到conhost对此的拦截
B100D1E55
发表于 2017-7-11 09:58:18 | 显示全部楼层
墨家小子 发表于 2017-7-11 09:46
看来ESET并没有很好的解释svchost是如何被控制的失望

的确……过滤之后基本就那个启动svchost是注入相关的
ccboxes
发表于 2017-7-11 10:00:32 | 显示全部楼层

HIPS这种东西天生不智能,厂家预设规则肯定也只能尽量宽松。卡巴也默认HIPS是一个需要大量用户干预的功能。不关自动模式,默认设置下的应用程序控制几乎不存在,主要是云和SW发力。
墨家小子
 楼主| 发表于 2017-7-11 10:00:43 | 显示全部楼层
B100D1E55 发表于 2017-7-11 09:58
的确……过滤之后基本就那个启动svchost是注入相关的

看32楼,我觉得还有一种可能
如果连这种空子也钻,哪陌生程序启动conhost的弹窗提示可以直接拦截了,毕竟conhost有很多操作属于正常行为
墨家小子
 楼主| 发表于 2017-7-11 10:02:58 | 显示全部楼层
ccboxes 发表于 2017-7-11 10:00
HIPS这种东西天生不智能,厂家预设规则肯定也只能尽量宽松。卡巴也默认HIPS是一个需要大量用户干预的功能 ...

没错
不过感觉低限制组里的程序启动别的程序时默认最好是提示的,不用自己修改,就像这个样本启动conhost,conhost被启动了很难进行进一步判断了
B100D1E55
发表于 2017-7-11 10:07:05 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-7-11 10:08 编辑
墨家小子 发表于 2017-7-11 10:00
看32楼,我觉得还有一种可能
如果连这种空子也钻,哪陌生程序启动conhost的弹窗提示可以直接拦截了,毕 ...

其实刚才也试过,添加一条规则针对所有源程序和所有目标程序(无其他白名单规则),监控篡改其他进程状态的行为,并没有看到conhost相关的弹窗
墨家小子
 楼主| 发表于 2017-7-11 10:09:33 | 显示全部楼层
B100D1E55 发表于 2017-7-11 10:07
其实刚才也试过,添加一条规则针对所有源程序和所有目标程序(无其他白名单规则),监控篡改其他进程状态 ...

你看一下,程序里的conhost有没有允许修改任何其他程序这一条?
li13911
发表于 2017-7-11 10:10:40 | 显示全部楼层
墨家小子 发表于 2017-7-11 08:19
卡巴默认的是启动其他程序,费尔提示的是修改系统进程有意思 有意思

两步操作啊,很正常。。
CreateProcess&WriteProcessMemory,第二步可以玩出各种花来
墨家小子
 楼主| 发表于 2017-7-11 10:14:13 | 显示全部楼层
li13911 发表于 2017-7-11 10:10
两步操作啊,很正常。。
CreateProcess&WriteProcessMemory,第二步可以玩出各种花来

确实,不过现在是无法判定第二步样本是不是有WriteProcessMemory的行为,费尔 ssf EMSI说有,ESET 卡巴说没有
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-7-22 04:45 , Processed in 0.110569 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表