楼主: 墨家小子
收起左侧

[可疑文件] GqD8i1szV.exe 测试卡巴应用程序控制、防火墙(增加卡巴系统监控测试 、SSF测试)

[复制链接]
li13911
发表于 2017-7-11 10:19:09 | 显示全部楼层
墨家小子 发表于 2017-7-11 10:14
确实,不过现在是无法判定第二步样本是不是有WriteProcessMemory的行为,费尔 ssf EMSI说有,ESET 卡巴说 ...

看截图有WriteProcessMemory行为无疑,没拦截到不能说没有。可以试试x64下带vt或者x86下的360,必拦无疑。但是有可能直接云杀就拉黑了。只要被主防拦截一次,云直接就上传特征了。
杀毒软件就是个摆设,想过的话分分钟过。。。
ccboxes
发表于 2017-7-11 10:24:44 | 显示全部楼层
li13911 发表于 2017-7-11 10:19
看截图有WriteProcessMemory行为无疑,没拦截到不能说没有。可以试试x64下带vt或者x86下的360,必拦无疑 ...
杀毒软件就是个摆设,想过的话分分钟过


这句话并不适当,目前只能说静态扫描容易过,主防依然相当难。就算是静态扫描,面对传统启发引擎与统计引擎的结合也很难下手。
B100D1E55
发表于 2017-7-11 10:53:46 | 显示全部楼层
墨家小子 发表于 2017-7-11 10:09
你看一下,程序里的conhost有没有允许修改任何其他程序这一条?

并木有。顺带:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ytysh
发表于 2017-7-11 10:58:16 | 显示全部楼层
F-Secure Miss

Immunet Kill
,就一个.
发表于 2017-7-11 12:21:07 | 显示全部楼层
本帖最后由 ,就一个. 于 2017-7-11 15:41 编辑

你们还在讨论拦截到这一步 一会拦截那一步  我大BD ATC一步就拿下了 并且没有任何异议 都来用BD吧 ATC的综合性能(智能性跟拦截率综合考虑)秒杀目前任何主防跟HIPS 在行为阻断这一块 ATC说第二 至少目前没人敢说第一  
先来个ATC 等会测试GD
大BD总是给人自信



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
,就一个.
发表于 2017-7-11 13:16:43 | 显示全部楼层
哥的她

AVA 25.13316
GD 25.9972

*** Prozess ***

Prozess: 6412
Dateiname: GqD8i1szV.exe
Pfad: d:\360极速浏览器下载\gqd8i1szv\gqd8i1szv.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 2017年7月11日 13:15:44
Änderungsdatum: 2017年7月11日 8:08:26

Gestartet von: Explorer.EXE
Herausgeber: Microsoft Windows


*** Aktionen ***

Das Programm stellt eine Verbindung über ein Netzwerk her.
Das Programm wurde im Speicher modifiziert.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
D:\360极速浏览器下载\GqD8i1szV\GqD8i1szV.exe

Folgende Registry Einträge wurden gelöscht:


YGLRKLjgcnJycmJicCp0okInKiYGt3KicqJiYpArFo3SkC4nJyYmJwfKcnJiYnJyoC0nJyYmJweccnJycmJi0CgnJyYmJwd3LycnJycmBqcrGJk1ZisnGJk1ZisnJganLScnJiYnB8cvJycmJicH5ygnCOctJycmJicHaCknB7gvJycnJyYG6ConB+grJycmJicHAA
Version der Regeln: 5.0.148
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 68091

"D:\360极速浏览器下载\GqD8i1szV\GqD8i1szV.exe"
MD5: 9506332124672C9D8F53F0FA3565E5DA
C:\windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24


li13911
发表于 2017-7-11 13:30:01 | 显示全部楼层
ccboxes 发表于 2017-7-11 10:24
这句话并不适当,目前只能说静态扫描容易过,主防依然相当难。就算是静态扫描,面对传统启发引擎与统 ...

过杀软看怎么过了。主防照样过。如果是纯手动的HIPS可能过不了,但那个不是杀软了,对用户的打扰程度太高,还不如没有,也只能小众玩玩
引领四基生活
发表于 2017-7-11 14:27:11 | 显示全部楼层
火绒没反应
ccboxes
发表于 2017-7-11 14:52:46 | 显示全部楼层
li13911 发表于 2017-7-11 13:30
过杀软看怎么过了。主防照样过。如果是纯手动的HIPS可能过不了,但那个不是杀软了,对用户的打扰程度太高 ...

不不不,现在人数占大部分的低端黑客己经没有办法对主流厂商做免杀了,就算是过扫描也撑不了多久,不到一天就会被入库,不然天然行为模糊的勒索也不会流行起来。

现在流行的除了勒索(普通的也不是很灵光了,只有使用PowerShell的还比较难缠),就只有社会工程学恶意软件,通过各种方式来诱导用户主动关闭安软。
erui
发表于 2017-7-11 15:04:54 | 显示全部楼层
请问这个SSF是免费的防火墙吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-24 11:16 , Processed in 0.075878 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表