查看: 1559|回复: 17
收起左侧

[可疑文件] 突破AG(开启禁飞区)防御,貌似注入,看看哪家能拦截到注入explorer,没上传VT

[复制链接]
墨家小子
发表于 2017-7-17 08:29:25 | 显示全部楼层 |阅读模式
https://mega.nz/#!gaQ3XYiQ!kdKtT ... KB_X0J34739rMic1qd8

这货注入explorer之后,然后还要借助explorer启动注入msiexec……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ysj963
发表于 2017-7-17 09:33:05 | 显示全部楼层
eset设置阻止一切注入explorer,阻止一切直接访问硬盘,阻止一切调试程序,阻止一切修改启动项,这样安全不?
Dolby123
发表于 2017-7-17 10:06:44 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
skycai
发表于 2017-7-17 10:07:34 | 显示全部楼层
ysj963 发表于 2017-7-17 09:33
eset设置阻止一切注入explorer,阻止一切直接访问硬盘,阻止一切调试程序,阻止一切修改启动项,这样安全不 ...

疯了。。。
学雷锋做人
发表于 2017-7-17 10:22:07 | 显示全部楼层
上次楼主的样本向火绒工程师反映explorer被注入无反应后,火绒对这方面完善了规则,当时叫我再测试看看,现在看来效果不错

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 版区有你更精彩: )

查看全部评分

aboringman
发表于 2017-7-17 10:55:59 | 显示全部楼层
本帖最后由 aboringman 于 2017-7-17 10:57 编辑

ESET AMS击杀母体,然而explorer.exe仍然被注入,后来就有了无数的网页防护拦截信息。。。。。。
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash;First seen here
2017/7/17 10:52:26;Advanced memory scanner;file;Operating memory » C:\Users\abori\Desktop\ofoze.exe;a variant of Win32/TrojanDownloader.Agent.DEA trojan;cleaned;;;1A3560909C74AA3B8C8775F7CE3962E2A0ADC073;

ysj963
发表于 2017-7-17 11:02:37 | 显示全部楼层
学雷锋做人 发表于 2017-7-17 10:22
上次楼主的样本向火绒工程师反映explorer被注入无反应后,火绒对这方面完善了规则,当时叫我再测试看看,现 ...

火绒啊 ,就缺个启发引擎了。为什么ESET这样的引擎就只有一家?是专利垄断了还是真的开发不出来?
学雷锋做人
发表于 2017-7-17 11:15:03 | 显示全部楼层
ysj963 发表于 2017-7-17 11:02
火绒啊 ,就缺个启发引擎了。为什么ESET这样的引擎就只有一家?是专利垄断了还是真的开发不出来?

火绒采用的是 通用脱壳+沙盒,在国内这块是顶尖的,在国外也属于前列,你最好亲自去了解了解这方面的技术水平,国内杀软启发引擎普遍不行,都是靠云引擎提高检出率的,火绒是无云的,不是说无云多牛逼,是因为火绒的引擎不依靠云,依靠自身的虚拟化技术同样可以提高检出率,只是没有云入库反应快,国内其他杀软断网再跟火绒相比显而易见,而且云引擎依靠的是校验文件哈希值,这个说白了一个样本不停的改个哈希值就可以无限入库

评分

参与人数 1人气 +1 收起 理由
jone_jys + 1 感谢解答: )

查看全部评分

許典翔
发表于 2017-7-17 11:19:40 | 显示全部楼层
卡巴解壓殺,猛猛的
ysj963
发表于 2017-7-17 11:20:33 | 显示全部楼层
学雷锋做人 发表于 2017-7-17 11:15
火绒采用的是 通用脱壳+沙盒,在国内这块是顶尖的,在国外也属于前列,你最好亲自去了解了解这方面的技术 ...

不知道火绒的通用脱壳,虚拟化是不是就是动态启发?为啥子库还是那么少,毕竟也会有影响的。云杀其实并不好,文件大了就废了,也不急着赶那么几小时的入库速度,有了HIPS就安心了。不知道火绒有没有HIPS相关教程 ,在火绒里面通配符之类的应该怎么玩?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-25 21:26 , Processed in 0.109644 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表