楼主: qftest
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
qftest
 楼主| 发表于 2014-3-6 11:23:44 | 显示全部楼层
墨家小子 发表于 2014-3-6 11:18
求小q测试一下远控那种类型的

好啊,请提供样本
三个左右就行,准备吃饭啦
qftest
 楼主| 发表于 2014-3-6 11:27:14 | 显示全部楼层
本帖最后由 qftest 于 2014-3-6 11:30 编辑

QQ名片赞王.exe
http://bbs.kafan.cn/thread-1693754-1-1.html

2014/3/6        11:24:48        已由访问保护规则禁止         qftest\Kafan        C:\测试\QQ名片赞王\QQ名片赞王.exe        C:\测试\QQ名片赞王\SkinH_EL.dll        用户定义的规则:03 入侵控制_dll        已阻止的操作: 创建



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
 楼主| 发表于 2014-3-6 11:40:49 | 显示全部楼层
墨家小子 发表于 2014-3-6 11:18
求小q测试一下远控那种类型的

远控xvibr
http://bbs.kafan.cn/thread-1692857-1-1.html

VSE

2014/3/5        23:49:19        已由访问保护规则禁止         qftest\Kafan        C:\测试\疑远控xvibr\xvibr.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2014/3/5        23:49:19        已由访问保护规则禁止         qftest\Kafan        C:\测试\疑远控xvibr\xvibr.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 删除
2014/3/5        23:49:19        被端口阻挡规则阻挡         C:\测试\疑远控xvibr\xvibr.exe        通用最大保护:禁止 HTTP 通信        122.224.48.50:80
2014/3/5        23:49:22        已由访问保护规则禁止         qftest\Kafan        C:\测试\疑远控xvibr\xvibr.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Internet Explorer\Main\WindowsSearch\Version        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建


==========================================================================

COMODO

2014-03-03 22:21:19         C:\测试\xvibr\xvibr.exe         访问内存         C:\Windows\explorer.exe
2014-03-03 22:21:02         C:\测试\xvibr\xvibr.exe         访问COM接口         C:\Windows\System32\svchost.exe
2014-03-03 22:20:58         C:\测试\xvibr\xvibr.exe         修改注册表项         HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
2014-03-03 22:20:51         C:\测试\xvibr\xvibr.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
2014-03-03 22:20:47         C:\测试\xvibr\xvibr.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
2014-03-03 22:20:42         C:\测试\xvibr\xvibr.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
2014-03-03 22:20:38         C:\测试\xvibr\xvibr.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
2014-03-03 22:20:34         C:\测试\xvibr\xvibr.exe         修改文件         \Device\Nsi
2014-03-03 22:20:31         C:\测试\xvibr\xvibr.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
2014-03-03 22:20:27         C:\测试\xvibr\xvibr.exe         修改文件         \Device\Afd\Endpoint
2014-03-03 22:20:13         C:\测试\xvibr\xvibr.exe         安装钩子         C:\windows\SYSTEM32\MSVBVM60.DLL
报告结束


这种远控仅靠VSE规则防不了,写再多规则也没用,访问内存+COM接口+挂钩。。。VSE只有跟COMODO配套才能防御
墨家小子
发表于 2014-3-6 12:25:14 | 显示全部楼层
qftest 发表于 2014-3-6 11:23
好啊,请提供样本
三个左右就行,准备吃饭啦

样本区很多
墨家小子
发表于 2014-3-6 12:25:32 | 显示全部楼层
qftest 发表于 2014-3-6 11:27
QQ名片赞王.exe
http://bbs.kafan.cn/thread-1693754-1-1.html

这个是敲竹杠
qftest
 楼主| 发表于 2014-3-6 12:26:43 | 显示全部楼层

吃完饭再看看
你挑选几个经典的来呀,样本区我混得少,那是你的地盘
墨家小子
发表于 2014-3-6 12:30:02 | 显示全部楼层
qftest 发表于 2014-3-6 12:26
吃完饭再看看
你挑选几个经典的来呀,样本区我混得少,那是你的地盘

嗯 那里混经验很快的
qftest
 楼主| 发表于 2014-3-6 14:50:02 | 显示全部楼层
本帖最后由 qftest 于 2014-3-6 15:29 编辑
墨家小子 发表于 2014-3-6 11:18
求小q测试一下远控那种类型的


远控

价格表(1).zip
http://bbs.kafan.cn/thread-1690386-1-1.html


COMODO放行跟踪动作






2014/3/6        14:44:05        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\rundll32.exe        C:\Users\Kafan\AppData\Roaming\11Game\mysecond.dll        用户定义的规则:03 入侵控制_dll        已阻止的操作: 创建

VSE禁运只需一条规则就搞定,禁止生成dll后就没了动静,没发现写启动写服务之类的后继动作,也没联网
生成以下文件 C:\11Game\bmpinstall.inf

文件内容
[Version]
Signature="$CHICAGO$"
Provider=t@t.com, 2002
[DefaultInstall]
; DelReg=run_DelReg
AddReg=run_AddReg
[run_DelReg]
[run_AddReg]
hkcu,"Software\Microsoft\Windows\CurrentVersion\Run","Update",,"rundll32.exe ""C:\Users\Kafan\AppData\Roaming\11Game\mythird.dll"",PushData"
[Strings]

过不了COMODO安全模式,只好用疯狂模式放行全部动作查看联网行为,确实是远控

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
jml521m
发表于 2014-3-6 15:46:32 | 显示全部楼层
墨家小子 发表于 2014-3-6 12:30
嗯 那里混经验很快的

墨家小子找到好测试的人了,看人家的热情劲,呵呵。。。一直占据着楼盘高高在上
墨家小子
发表于 2014-3-6 18:45:26 | 显示全部楼层
jml521m 发表于 2014-3-6 15:46
墨家小子找到好测试的人了,看人家的热情劲,呵呵。。。一直占据着楼盘高高在上

表这么说 太直接了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 13:46 , Processed in 0.091008 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表