收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 难得一见的Sophos HIPS发威
12下一页
返回列表 发新帖
查看: 3551|回复: 17
收起左侧

[其他相关] 难得一见的Sophos HIPS发威

[复制链接]
firefox3
发表于 2012-5-14 08:48:49 | 显示全部楼层 |阅读模式
本帖最后由 firefox3 于 2012-5-14 18:21 编辑

样本地址:http://bbs.kafan.cn/forum.php?mo ... 6&highlight=cpl

这个样本居然把comodo搞崩溃,还好Sophos的HIPS拦截!

20120514 004223        进程 "C:\Users\A\AppData\Local\Temp\80320120325.cpl" 显示可疑行为,类型:'HIPS/RegMod-014'。
                访问被拒绝。
                 如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。



MD测试:

2012/5/14 08:49:40        c:\windows\system32\rundll32.exe        创建注册表项        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}        阻止        [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper objects*       
2012/5/14 08:49:40        c:\windows\system32\rundll32.exe        创建注册表项        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}        阻止        [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper objects*       
2012/5/14 08:49:40        c:\windows\system32\rundll32.exe        创建注册表项        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}        阻止        [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper objects*       
2012/5/14 08:49:40        c:\windows\system32\rundll32.exe        创建注册表项        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}        阻止        [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper objects*       
2012/5/14 08:49:40        c:\windows\system32\rundll32.exe        创建注册表项        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32        阻止        [注册表组]重要设置 -> [注册表]*\SOFTWARE\Classes\CLSID\*       
2012/5/14 08:49:59        c:\windows\system32\rundll32.exe        修改文件 (6)        C:\Users\A\AppData\Local\Temp\80320120325.cpl        阻止        [应用程序]c:\windows\system32\rundll32.exe -> [文件组]全局高危文件       
2012/5/14 08:50:05        c:\windows\system32\rundll32.exe        创建文件        C:\Users\A\AppData\Local\Temp\adobe-flash-player.bat        阻止        [应用程序]c:\windows\system32\rundll32.exe -> [文件组]全局高危文件       





再来一个误报的
20120514 100123        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100125        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100150        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100151        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100237        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100238        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100311        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100312        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100350        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100351        进程 "E:\Games\C&C3\retailexe\1.9\cnc3game.dat" 显示可疑行为,类型:'HIPS/ProcInj-001'。
                进程被中止。
                如果您不确定是否应该批准应用程序,请寄送一份样本给 Sophos。
20120514 100721        已批准可疑进程 "cnc3game.dat"。
回复

举报

wxper
发表于 2012-5-14 08:57:40 | 显示全部楼层
看来我还得装个HIPS。
回复

举报

yusup
发表于 2012-5-14 08:58:10 | 显示全部楼层
过了FS。
回复

举报

firefox3
 楼主| 发表于 2012-5-14 09:02:04 | 显示全部楼层
wxper 发表于 2012-5-14 08:57
看来我还得装个HIPS。

http://bbs.kafan.cn/forum.php?mo ... 9&highlight=cpl

这样的样本挺多的
回复

举报

firefox3
 楼主| 发表于 2012-5-14 09:02:21 | 显示全部楼层
yusup 发表于 2012-5-14 08:58
过了FS。

试试这个  http://bbs.kafan.cn/forum.php?mo ... 9&highlight=cpl
回复

举报

有非
发表于 2012-5-14 09:13:40 | 显示全部楼层
厉害啊,试试
回复

举报

pansonic
发表于 2012-5-14 15:30:28 | 显示全部楼层
貌似挺NB,居然看不懂。
回复

举报

bbs2811125
发表于 2012-5-14 15:50:52 | 显示全部楼层
sophos的hips对于动作比较明显的样本拦截还是不错的
回复

举报

firefox3
 楼主| 发表于 2012-5-14 15:52:22 | 显示全部楼层
pansonic 发表于 2012-5-14 15:30
貌似挺NB,居然看不懂。

看md的注册表拦截,应该是一样的拦截行为
回复

举报

firefox3
 楼主| 发表于 2012-5-14 15:53:26 | 显示全部楼层
bbs2811125 发表于 2012-5-14 15:50
sophos的hips对于动作比较明显的样本拦截还是不错的

可能是针对ie的基本保护吧
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-8 14:21 , Processed in 0.139581 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表