楼主: 墨家小子
收起左侧

[可疑文件] File name: muxu.exe Detection ratio: 10 / 62 AG官方确认样本突破某种设定下的防御

[复制链接]
B100D1E55
发表于 2017-7-16 11:08:57 | 显示全部楼层
墨家小子 发表于 2017-7-16 11:03
那个挂马网页能突破ESET的注入防御,我服谁

我才不会告诉你ESET的银行模式除了它那个frame进程不会被特殊注入外,受保护的IE是会被注入的。当然这个洞已经在近期被修复了
墨家小子
 楼主| 发表于 2017-7-16 11:10:39 | 显示全部楼层
B100D1E55 发表于 2017-7-16 11:08
我才不会告诉你ESET的银行模式除了它那个frame进程不会被特殊注入外,受保护的IE是会被注入的。当然这个 ...

不打补丁逛挂马网页,我只服ESET和HMPA
ziyerain2015
发表于 2017-7-16 12:46:06 | 显示全部楼层

比2345厉害了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
aboringman
发表于 2017-7-16 14:39:39 | 显示全部楼层
Advanced Memory Scanner is a unique ESET technology which effectively addresses an important issue of modern malware – heavy use of obfuscation and/or encryption. To tackle these issues, Advanced Memory Scanner monitors the behavior of a malicious process and scans it once it decloaks in memory.

Whenever a process makes a system call from a new executable page, Advanced Memory Scanner performs a behavioral code analysis using ESET DNA Detections. Thanks to implementation of smart caching, Advanced Memory Scanner doesn't cause any noticeable deterioration in processing speeds.

Moreover, there is a new trend in advanced malware: some malicious code now operates "in-memory only," without needing persistent components in the file system that can be detected conventionally. Only memory scanning can successfully discover such malicious attacks and ESET is ready for this trend with its Advanced Memory Scanner.

机翻:高级内存扫描器是一种独特的ESET技术,可有效解决现代恶意软件的重要问题 - 大量使用混淆和/或加密。 为了解决这些问题,高级内存扫描器会监视恶意进程的行为,并在内存中解码后对其进行扫描。

每当进程从新的可执行页面进行系统调用时,高级内存扫描程序将使用ESET DNA Detection执行行为代码分析。 由于智能缓存的实现,高级内存扫描器不会导致处理速度明显恶化。

而且,高级恶意软件还有一个新的趋势:一些恶意代码现在只能运行在内存中,而不需要常规检测的文件系统中的持久性组件。 只有内存扫描可以成功发现这种恶意攻击,并且ESET可以通过其高级内存扫描器为此趋势做好准备。

其实就是扫描。。。。。。

@ccboxes @B100D1E55
作梦也为了裸奔
发表于 2017-7-16 17:05:16 | 显示全部楼层
和BD的RAW MEMORY INSPECTION挺象

AMS也是Physical Address ?
墨家小子
 楼主| 发表于 2017-7-16 18:57:02 | 显示全部楼层
果然HMPA会拦


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
B100D1E55
发表于 2017-7-16 21:30:21 | 显示全部楼层
作梦也为了裸奔 发表于 2017-7-16 17:05
和BD的RAW MEMORY INSPECTION挺象

AMS也是Physical Address ?

感觉是virtual addr,而且之前看到有人说可以通过pagefile绕过,当然具体方法我不知道……

raw mem inspection有资料吗
B100D1E55
发表于 2017-7-16 21:30:55 | 显示全部楼层
aboringman 发表于 2017-7-16 14:39
Advanced Memory Scanner is a unique ESET technology which effectively addresses an important issue o ...

是扫描没错,关键看扫描的是什么
作梦也为了裸奔
发表于 2017-7-17 07:15:02 | 显示全部楼层
B100D1E55 发表于 2017-7-16 21:30
感觉是virtual addr,而且之前看到有人说可以通过pagefile绕过,当然具体方法我不知道……

raw mem in ...

通过pagefile绕过  BYPASS

新一代Server不用virtual Address... ...POINTER是指向Physical Address

BD的官网有  RMI  资料  ......我觉得安全方案觧決还是直接結合Soc或ASIC
B100D1E55
发表于 2017-7-17 08:11:40 | 显示全部楼层
作梦也为了裸奔 发表于 2017-7-17 07:15
通过pagefile绕过  BYPASS

新一代Server不用virtual Address... ...POINTER是指向Physical Address

这个?https://www.usenix.org/sites/def ... 15_slides_lutas.pdf
不用virtual addr?你指的是segment-based那种的?

我个人不看好硬件方案,至少目前见过的都有很多问题
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 07:16 , Processed in 0.094552 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表