用eset hips的各位大大，给测试一下这个样本好不？

显示全部楼层 · 发表于 2014-2-11 18:01:03

墨家小子发表于 2014-2-11 17:22
都没有抓到注入explorer这一步，OPF在XP下抓到了，只是说拦截到注入，没说拦截到注入到那个进程，在win8 ...

现在的主流是win7，当然用xp的也不在少数。opf的那个AD防护很带劲儿。
这木马整个过程相对来说还比较常规。没有拦截到注入和系统有关，不单是HIPS的原因。
反正整个过程我们是看到了，相对来讲ESET的HIPS简陋了点，但是防护起来还是值得信赖的。

显示全部楼层 · 发表于 2014-2-11 18:21:51

cihkevin 发表于 2014-2-11 18:01
现在的主流是win7，当然用xp的也不在少数。opf的那个AD防护很带劲儿。
这木马整个过程相对来说还比较 ...

显示全部楼层 · 发表于 2014-2-11 19:04:12

墨家小子发表于 2014-2-11 18:21
opf的ad一般般吧
你测试过这个样本没？http://bbs.kafan.cn/thread-1653283-1-1.html
OP貌似有bug：htt ...

第二个链接木马那两处写入，我自身写的ESET规则就会拦截。opf学习模式就对你svchost而言，确实有点坑，一点都不细致。和毛豆完全不一样。我只使用过8.不过按照你的图解，也好不哪里去。像这种就需要手动添加一些规则，才能满足于高安全性的人士需求。
VT 那个没有，刚才试了下，成功白屏。

显示全部楼层 · 发表于 2014-2-11 19:06:26

cihkevin 发表于 2014-2-11 19:04
第二个链接木马那两处写入，我自身写的ESET规则就会拦截。opf学习模式就对你svchost而言，确实有点坑，一 ...

有拦截日志么？贴出来看看

显示全部楼层 · 发表于 2014-2-11 19:14:45

墨家小子发表于 2014-2-11 19:06
有拦截日志么？贴出来看看

你不早点说，这几天都在换头像，你丫变成萝莉控了？

晚点再试一下。

这两天太冷了！

显示全部楼层 · 发表于 2014-2-12 11:20:50

cihkevin 发表于 2014-2-11 19:14
你不早点说，这几天都在换头像，你丫变成萝莉控了？晚点再试一下。这两天太冷了！

很萌的
期待你的测试哦

显示全部楼层 · 发表于 2014-2-13 19:43:36

支持，支持，支持

显示全部楼层 · 发表于 2014-2-14 08:50:02

pwc1218 发表于 2014-2-13 19:43
支持，支持，支持

拿什么支持？

显示全部楼层 · 发表于 2014-2-15 15:32:49

支持一个，ess的hips怎么样，现在用4.2版本不带hips的那个版本足够了吗？

显示全部楼层 · 发表于 2014-2-22 19:08:33

测试图集。来的有点迟，就是你说的那个样本。测试完成白屏。

[求助] 用eset hips的各位大大，给测试一下这个样本好不？