收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 ESET(NOD32) 用eset hips的各位大大,给测试一下这个样本 好不?
123456下一页
返回列表 发新帖
楼主: 墨家小子
 收起左侧

[求助] 用eset hips的各位大大,给测试一下这个样本 好不?

[复制链接]
墨家小子
 楼主| 发表于 2014-2-23 11:26:36 | 显示全部楼层
cihkevin 发表于 2014-2-22 19:08
测试图集。来的有点迟,就是你说的那个样本。测试完成白屏。

有没有看启动项是否异常,白屏注销之后如果还是白屏那就是启动项被写入了
如果注销之后可以进到系统,那就是防御成功
你这是按照顺序排的截图吗?
上面这一步拦截之后会怎样?

这个样本主要是注入svchost,然后利用svchost写启动
回复

举报

cihkevin
发表于 2014-2-23 11:31:50 | 显示全部楼层
本帖最后由 cihkevin 于 2014-2-23 11:33 编辑
墨家小子 发表于 2014-2-23 11:26
有没有看启动项是否异常,白屏注销之后如果还是白屏那就是启动项被写入了
如果注销之后可以进到系统,那 ...


就是这步骤之后,我试了三次,都来不及截图,就白屏了!!!!调用了一个S开头的程序,然后就白了
!!!!白屏 还怎么注销?只能强制关机。我是直接恢复快照。
回复

举报

墨家小子
 楼主| 发表于 2014-2-23 11:35:36 | 显示全部楼层
cihkevin 发表于 2014-2-23 11:31
就是这步骤之后,我试了三次,都来不及截图,就白屏了!!!!调用了一个S开头的程序,然后就白 ...

就是被锁屏了呗,其实也很好办,我都被锁过无数次了,解锁很简单
一呢就是用Diagnostics and Recovery Toolset (DaRT)取消木马写的启动项
二呢我PM你吧
回复

举报

cihkevin
发表于 2014-2-23 15:23:45 | 显示全部楼层
本帖最后由 cihkevin 于 2014-2-23 15:25 编辑

这和你给出的文件位置貌似不对。但是文件确实在那里。而且这两处ESET弹窗都没有,就挂了。日志也没记录、


这有点坑啊!!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

墨家小子
 楼主| 发表于 2014-2-23 15:25:50 | 显示全部楼层
cihkevin 发表于 2014-2-23 15:23
这和你给出的文件位置貌似不对。但是文件确实在那里。而且这两处ESET弹窗都没有,就挂了。

试试交互模式,如果交互模式下漏了,那就该提交官方了
回复

举报

cihkevin
发表于 2014-2-23 15:27:39 | 显示全部楼层
墨家小子 发表于 2014-2-23 15:25
试试交互模式,如果交互模式下漏了,那就该提交官方了


就是交互模式,不是交互,默认规则。直接挂,毫无疑问的。
回复

举报

墨家小子
 楼主| 发表于 2014-2-23 15:40:43 | 显示全部楼层
cihkevin 发表于 2014-2-23 15:27
就是交互模式,不是交互,默认规则。直接挂,毫无疑问的。

居然ESET默认规则没有启动项的防御?那就是说ESET也没拦截到样本注入svchost
OP的默认规则里还有呢,不过因为一个bug也拦截不到
回复

举报

cihkevin
发表于 2014-2-23 15:49:50 | 显示全部楼层
墨家小子 发表于 2014-2-23 15:40
居然ESET默认规则没有启动项的防御?那就是说ESET也没拦截到样本注入svchost
OP的默认规则 ...


默认没有防御,就一个规则,装好ESET你就看得到。带规则的自动模式,除了那一条,那么其余的操作都是默认允许的,更谈不上智能监控了。所以,只要你样本存在于电脑中,双击样本。直接挂。毫无悬念。
我看了你的评测,是一个BUG的节奏。病毒就是无孔不入,安全软件就是个辅助,我们的主观判断显得尤为重要。
opf comodo 和 ESET的HIPS完全是两个等级的。所以很多人是 OPF+EAV,EAV+comodo这样的组合。
回复

举报

墨家小子
 楼主| 发表于 2014-2-23 15:55:55 | 显示全部楼层
cihkevin 发表于 2014-2-23 15:49
默认没有防御,就一个规则,装好ESET你就看得到。带规则的自动模式,除了那一条,那么其余的操作都是默 ...

关键这是eset的交互模式被爆了,如果OP没有那个bug,应该能拦截到的,而且是无弹窗拦截
单纯比较拦截能力的话,ESET的交互跟OP的最高级别的反泄漏,我还是会选择ESET,因为OP在不同系统下对于注入的防御十分。。。。无力,只有在xp下拦截注入是令人满意的,别的系统,还是不说了。相比之下,eset就不会这样,我之前也用过一段时间的ESET,这些话都是在测试之后得出的结论。最终为什么没有选择ESET,那是因为eset没有终止进程这个选项。
回复

举报

cihkevin
发表于 2014-2-23 17:03:41 | 显示全部楼层
墨家小子 发表于 2014-2-23 15:55
关键这是eset的交互模式被爆了,如果OP没有那个bug,应该能拦截到的,而且是无弹窗拦截
单纯比较拦截能 ...

被爆了也正常。没有一款杀软是坚不可摧的。普通用户很少人会去用交互,你安装软件,卸载,就是几十个弹窗,谁受得了。

再者真想安全,在杀软监控很全面的情况下,假如ESET监控全面性很好(其实ESET防护不全面,你我都清楚),只是规则不全。那么可以由用户自己添加规则,实现一个比较全面性质的防护。(偏激点讲,就是一个系统进程,就有精确的规则与之对应,并且采用,基于规则模式。)那么即使你双击了病毒,都无法运行。
负担就是  规则,这样的规则 估计会很多,很多。除非专业的,一般人根本无法搞定。

然后就是我们采用安全软件的自带的一些比较智能化的规则。COMODO就好很多。这样自带专业规则的防护,减轻了我们的使用负担, 但是,又正如你所说的,关键还有一个是 跨系统的防护呢  这又是一个问题  。

没有一款软件是能达到完美防护,再者安软本身可能还存在BUG,对于我们普通用户来讲,有一个比较轻便,实用的安全软件就足够了。

那你现在用的什么?
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-12 08:07 , Processed in 0.096395 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表