GqD8i1szV.exe 测试卡巴应用程序控制、防火墙（增加卡巴系统监控测试 、SSF测试）

墨家小子

ccboxes 发表于 2017-7-11 09:54
不过目前2017的应用程序控制我认为HOOK的函数还是不够，截获的命令不详细。2018似乎加强了监控，增加了注 ...

可惜的是手动挡

墨家小子

B100D1E55 发表于 2017-7-11 09:42
我之前试过了，总之交互下我就看到这四个：

还有一种可能就是学习模式时，ESET默认了conhost对svchost的修改行为所以测试时，你看不到conhost对此的拦截

B100D1E55

墨家小子 发表于 2017-7-11 09:46
看来ESET并没有很好的解释svchost是如何被控制的失望

的确……过滤之后基本就那个启动svchost是注入相关的

ccboxes

墨家小子 发表于 2017-7-11 09:56
可惜的是手动挡

HIPS这种东西天生不智能，厂家预设规则肯定也只能尽量宽松。卡巴也默认HIPS是一个需要大量用户干预的功能。不关自动模式，默认设置下的应用程序控制几乎不存在，主要是云和SW发力。

墨家小子

B100D1E55 发表于 2017-7-11 09:58
的确……过滤之后基本就那个启动svchost是注入相关的

看32楼，我觉得还有一种可能
如果连这种空子也钻，哪陌生程序启动conhost的弹窗提示可以直接拦截了，毕竟conhost有很多操作属于正常行为

墨家小子

ccboxes 发表于 2017-7-11 10:00
HIPS这种东西天生不智能，厂家预设规则肯定也只能尽量宽松。卡巴也默认HIPS是一个需要大量用户干预的功能 ...

没错
不过感觉低限制组里的程序启动别的程序时默认最好是提示的，不用自己修改，就像这个样本启动conhost，conhost被启动了很难进行进一步判断了

B100D1E55

墨家小子 发表于 2017-7-11 10:00
看32楼，我觉得还有一种可能
如果连这种空子也钻，哪陌生程序启动conhost的弹窗提示可以直接拦截了，毕 ...

其实刚才也试过，添加一条规则针对所有源程序和所有目标程序（无其他白名单规则），监控篡改其他进程状态的行为，并没有看到conhost相关的弹窗

墨家小子

B100D1E55 发表于 2017-7-11 10:07
其实刚才也试过，添加一条规则针对所有源程序和所有目标程序（无其他白名单规则），监控篡改其他进程状态 ...

你看一下，程序里的conhost有没有允许修改任何其他程序这一条？

li13911

墨家小子 发表于 2017-7-11 08:19
卡巴默认的是启动其他程序，费尔提示的是修改系统进程有意思 有意思

两步操作啊，很正常。。
CreateProcess&WriteProcessMemory，第二步可以玩出各种花来

墨家小子

li13911 发表于 2017-7-11 10:10
两步操作啊，很正常。。
CreateProcess&WriteProcessMemory，第二步可以玩出各种花来

确实，不过现在是无法判定第二步样本是不是有WriteProcessMemory的行为，费尔 ssf EMSI说有，ESET 卡巴说没有