突破AG（开启禁飞区）防御，貌似注入，看看哪家能拦截到注入explorer，没上传VT

墨家小子

https://mega.nz/#!gaQ3XYiQ!kdKtT ... KB_X0J34739rMic1qd8

这货注入explorer之后，然后还要借助explorer启动注入msiexec……

ysj963

eset设置阻止一切注入explorer，阻止一切直接访问硬盘，阻止一切调试程序，阻止一切修改启动项，这样安全不？

Dolby123

skycai

ysj963 发表于 2017-7-17 09:33
eset设置阻止一切注入explorer，阻止一切直接访问硬盘，阻止一切调试程序，阻止一切修改启动项，这样安全不 ...

疯了。。。

学雷锋做人

上次楼主的样本向火绒工程师反映explorer被注入无反应后，火绒对这方面完善了规则，当时叫我再测试看看，现在看来效果不错

aboringman

ESET AMS击杀母体，然而explorer.exe仍然被注入，后来就有了无数的网页防护拦截信息。。。。。。
[mw_shl_code=css,true]Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash;First seen here
2017/7/17 10:52:26;Advanced memory scanner;file;Operating memory » C:\Users\abori\Desktop\ofoze.exe;a variant of Win32/TrojanDownloader.Agent.DEA trojan;cleaned;;;1A3560909C74AA3B8C8775F7CE3962E2A0ADC073;
[/mw_shl_code]

ysj963

学雷锋做人 发表于 2017-7-17 10:22
上次楼主的样本向火绒工程师反映explorer被注入无反应后，火绒对这方面完善了规则，当时叫我再测试看看，现 ...

火绒啊 ，就缺个启发引擎了。为什么ESET这样的引擎就只有一家？是专利垄断了还是真的开发不出来？

学雷锋做人

ysj963 发表于 2017-7-17 11:02
火绒啊 ，就缺个启发引擎了。为什么ESET这样的引擎就只有一家？是专利垄断了还是真的开发不出来？

火绒采用的是 通用脱壳+沙盒，在国内这块是顶尖的，在国外也属于前列，你最好亲自去了解了解这方面的技术水平，国内杀软启发引擎普遍不行，都是靠云引擎提高检出率的，火绒是无云的，不是说无云多牛逼，是因为火绒的引擎不依靠云，依靠自身的虚拟化技术同样可以提高检出率，只是没有云入库反应快，国内其他杀软断网再跟火绒相比显而易见，而且云引擎依靠的是校验文件哈希值，这个说白了一个样本不停的改个哈希值就可以无限入库

許典翔

卡巴解壓殺，猛猛的

ysj963

学雷锋做人 发表于 2017-7-17 11:15
火绒采用的是 通用脱壳+沙盒，在国内这块是顶尖的，在国外也属于前列，你最好亲自去了解了解这方面的技术 ...

不知道火绒的通用脱壳，虚拟化是不是就是动态启发？为啥子库还是那么少，毕竟也会有影响的。云杀其实并不好，文件大了就废了，也不急着赶那么几小时的入库速度，有了HIPS就安心了。不知道火绒有没有HIPS相关教程 ，在火绒里面通配符之类的应该怎么玩？