查看: 5708|回复: 29
收起左侧

[求助] 貌似默认规则拦截不到这个样本写启动呢?

[复制链接]
墨家小子
发表于 2014-1-18 19:16:00 | 显示全部楼层 |阅读模式
只开通用最大保护禁止将程序注册为自动运行一项不排除任何进程

看看咖啡能不能拦截到这个样本写入启动项。别的不需要测试。

样本地址:http://bbs.kafan.cn/thread-1679611-1-1.html
大猫熊
发表于 2014-1-19 13:43:45 | 显示全部楼层
没测,看了一下在线分析,应该不能阻止。样本生成假的msctfime.ime替换原有的微软拼音输入法。默认规则应该不会阻挡。

鉴于此,可能需要新加一个规则,阻挡全盘ime文件的修改和生成。
zandalong
发表于 2014-1-20 12:07:20 | 显示全部楼层
还没测试出来?
jone_jys
头像被屏蔽
发表于 2014-1-20 13:18:59 | 显示全部楼层
大猫熊 发表于 2014-1-19 13:43
没测,看了一下在线分析,应该不能阻止。样本生成假的msctfime.ime替换原有的微软拼音输入法。默认规则应该 ...
规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**\startup\**.exe, **\startup\**.bat, **\startup\**.scr, **\startup\**.hta, **\startup\**.pif, **\startup\**.com
要禁止的文件操作:执行、创建、写入、删除


这条默认规则是拦截不了的。。。

墨家小子
 楼主| 发表于 2014-1-20 14:01:57 | 显示全部楼层
jone_jys 发表于 2014-1-20 13:18
这条默认规则是拦截不了的。。。

麻烦贴出拦截日志好吗?
墨家小子
 楼主| 发表于 2014-1-20 14:05:14 | 显示全部楼层
大猫熊 发表于 2014-1-19 13:43
没测,看了一下在线分析,应该不能阻止。样本生成假的msctfime.ime替换原有的微软拼音输入法。默认规则应该 ...

为什么不关注注册表呢?如果是替换文件,通用最大保护禁止将程序注册为自动运行里程序全空,任何程序写启动都回见红,可是我运行之后并未见到咖啡拦截
只是在添加下面这条之后才拦截到:
/**/Software/Microsoft/Windows NT/CurrentVersion/Windows/**
墨家小子
 楼主| 发表于 2014-1-20 14:06:09 | 显示全部楼层
zandalong 发表于 2014-1-20 12:07
还没测试出来?

我自定义一条注册表防御规则之后才拦截到
HKALL   /**/Software/Microsoft/Windows NT/CurrentVersion/Windows/**
很古怪的样本
zandalong
发表于 2014-1-20 14:35:20 | 显示全部楼层
墨家小子 发表于 2014-1-20 14:06
我自定义一条注册表防御规则之后才拦截到
HKALL   /**/Software/Microsoft/Windows NT/CurrentVersion/W ...

加载启动项的样本?
大猫熊
发表于 2014-1-20 23:32:16 | 显示全部楼层
墨家小子 发表于 2014-1-20 14:05
为什么不关注注册表呢?如果是替换文件,通用最大保护禁止将程序注册为自动运行里程序全空,任何程序写启 ...

注册表主要是添加输入法用的。真正有威胁的是替换系统自带的拼音输入法文件。

如果用户本身已经启用了微软拼音,则注册表即使拦截了也没有用。加载拼音输入法的时候就会加载病毒。
墨家小子
 楼主| 发表于 2014-1-21 10:37:24 | 显示全部楼层
大猫熊 发表于 2014-1-20 23:32
注册表主要是添加输入法用的。真正有威胁的是替换系统自带的拼音输入法文件。

如果用户本身已经启用了 ...

其实我的意思是针对咖啡的启动防御默认规则,在不排除任何程序的前提下,这个样本能够写入启动项,这是不是说明咖啡的默认规则有漏洞?
对于这个样本,咖啡完全可以克制,随便写点规则就行。重点在于默认规则是否存在漏洞?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 09:43 , Processed in 0.128125 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表