楼主: 柯林
收起左侧

[讨论] 怎样写套简单而又犀利的防毒/测毒规则?(12楼和13楼有参考贴图)

[复制链接]
依班娜
发表于 2014-6-8 20:23:51 | 显示全部楼层

RE: 怎样写套简单而又犀利的防毒/测毒规则?(12楼和13楼有参考贴图)

qftest 发表于 2014-6-8 19:20
父进程不需要是rundll32,那种是很老的利用方法了,太明显。。以前遇到过利用图片浏览器注入的样本 ...

听说过,那个图片不单单是图片
qftest
发表于 2014-6-8 20:32:19 | 显示全部楼层
柯林 发表于 2014-6-8 20:18
有时间去查了看
贴几条这种规则阻止的日志来看看,看它究竟拦了哪些入口(有AD方面的更好)

我现在可没时间玩样本,想看拦截点就自己开这条的报告再关掉所有别的规则去样本区双击
AD行为无论多少条VSE规则也拦不住,这是VSE天生的短板。以前做规则时玩双击遇到好些个记录键盘的纯种马,除了记录键盘输入的行为以外就只有一个通过com接口调用svchost.exe外联的动作,VSE对此根本没有办法,所以才需要搭配comodo之类
qftest
发表于 2014-6-8 20:36:43 | 显示全部楼层
依班娜 发表于 2014-6-8 20:23
听说过,那个图片不单单是图片

对,那张图片内有玄机的
柯林
 楼主| 发表于 2014-6-8 20:41:53 | 显示全部楼层
qftest 发表于 2014-6-8 20:32
我现在可没时间玩样本,想看拦截点就自己开这条的报告再关掉所有别的规则去样本区双击
AD行为无论多少条 ...

AD行为,先要程序运行起来再说
柯林
 楼主| 发表于 2014-6-8 20:55:58 | 显示全部楼层
qftest 发表于 2014-6-8 20:10
一个合格的禁运党必开“阻止对共享资源的读写访问”,开了这一条可以省掉你2楼一堆与该条规则保护范围重 ...

你说的官方文档在哪里,可不可以提供个链接?
qftest
发表于 2014-6-8 20:58:12 | 显示全部楼层
柯林 发表于 2014-6-8 20:41
AD行为,先要程序运行起来再说

无论你如何禁运、想打造成一个无缝的鸡蛋,样本都有办法运行的,必须搭配具备API检测能力的工具才可以真正阻止
就象那条大杀器规则“阻止对共享资源的读写访问”,我是在3月份做的win8x64基础规则,当时在样本区随意下载了100+样本玩双击,就遇到了几个纯种马,完全可以正常运行并记录键盘数据发送出去,那几个样本一不在信任区、二不改写任何用户数据,只是纯纯的记录键盘和通过com接口调用svchost.exe联网
可以想见,这类样本如果改造成新闻标题挂马在网页、或附身到其他软件身上,单奔VSE的必须悲剧啊
在实际使用环境中,你不可能预知当前“安全”的程序的AD行为,“先要程序运行起来再说”这样的想法本身就是危险的,会让你在不知不觉中中招,除非你坚决的拒绝运行一切外来程序。。。由此可见禁运党搭配comodo之类工具的必要性
柯林
 楼主| 发表于 2014-6-8 21:04:16 | 显示全部楼层
qftest 发表于 2014-6-8 20:58
无论你如何禁运、想打造成一个无缝的鸡蛋,样本都有办法运行的,必须搭配具备API检测能力的工具才可以真 ...

晕  你玩咖啡还搭个毛豆
纯粹API的 这个如果它自带需要的模块文件 这没话说  如果要借用系统的 一样被FD杀了
柯林
 楼主| 发表于 2014-6-8 21:08:17 | 显示全部楼层
本帖最后由 柯林 于 2014-6-8 21:09 编辑
qftest 发表于 2014-6-8 20:58
无论你如何禁运、想打造成一个无缝的鸡蛋,样本都有办法运行的,必须搭配具备API检测能力的工具才可以真 ...


http://bbs.kafan.cn/thread-1717709-1-1.html这个,还轮不到API出马,系统管理员身份双击  弹出运行出错警示框  然后就没有然后了  不知道所谓的纯API的可以绕过的东东啥样子

日志才有一条就杀了:用户帐户防修改测试工具.exe        C:\Windows\System32\msvbvm60.dll        用户定义的规则:禁运流1-禁止未知程序所有文件操作        已阻止的操作: 读取

如果要运行,程序先自带必须的模块才行
qftest
发表于 2014-6-8 21:23:47 | 显示全部楼层
柯林 发表于 2014-6-8 21:08
http://bbs.kafan.cn/thread-1717709-1-1.html这个,还轮不到API出马,系统管理员身份双击  弹出运行出 ...
你说的官方文档在哪里,可不可以提供个链接?

我没有现成的链接,以前是看过墨池的8.5i规则详解后自己google的8.8i官方文档,想看看有什么不一样,当时还感叹这条规则的严厉
你玩咖啡还搭个毛豆

咖啡豆,必须的
我不搞编程,不懂得我说的那几只纯种马样本是如何实现那样的功能,但你举的那个帐户修改测试样本真的不新鲜,就象之前那个lnk快捷方式载入dll的利用方法一样http://bbs.kafan.cn/thread-1689310-1-1.html,都是很古老的初级方法
柯林
 楼主| 发表于 2014-6-8 21:38:27 | 显示全部楼层
qftest 发表于 2014-6-8 21:23
我没有现成的链接,以前是看过墨池的8.5i规则详解后自己google的8.8i官方文档,想看看有什么不一样,当 ...

没找到,网上一搜,一片一片没用信息
没样本真的没法知道漏洞所在,这些要加载系统模块的程序,真的不行

我也理解”世上无绝对的安全这句话“,同时也理解”人品好,鬼都遇不到“这句话,顺便也理解”一般情况下,可以做到更高安全防御的,安全系数会更高,挂掉的几率更低“这句话,最后也理解”几率的高低与挂掉的结果不成比例这句话“,这些都是哲学范畴的东东了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:49 , Processed in 0.079419 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表