搞了几个有意思的样本 求测试毛豆hips

墨家小子

qq5150 发表于 2014-9-21 17:21
重新测下，win8.1 x64 第一个没反应，没异常；第二个访问磁盘，根目录生成bat，然后。。；第三个，访问磁盘 ...

真是邪门了 启动调用exporler和svchost之后 exporler和svchost没有异常？难道是windows81系统作怪挡住了？

qq5150

墨家小子 发表于 2014-9-21 18:43
真是邪门了 启动调用exporler和svchost之后 exporler和svchost没有异常？难道是windows81系统作怪挡住了 ...

抱歉，总是急忙回复，因为有点忙。

因为本身规则作了很多限制，那个日志记录的就是拦截的，先创建进程exporler，如果允许则访问其内存，后续就一系列地写入启动项了，如果不允许访问则创建进程svchost，访问其内存，如果允许访问也是同样的结果，如果不允许访问内存则终止其进程，comodo可以防下来的说

深山红叶__

我记得上次大师也发了很多Pass SSF的这类样本，连图标都是一样的雪花屏，MD看不到注入\修改进程的动作。

墨家小子

qq5150 发表于 2014-9-21 20:11
抱歉，总是急忙回复，因为有点忙。

因为本身规则作了很多限制，那个日志记录的就是拦截的，先创建进程 ...

木有事
很想看看你的拦截截图还有日志呢

先创建进程exporler，如果允许则访问其内存

允许运行的话，访问内存，毛斗的拦截截图有吗？

墨家小子

深山红叶__ 发表于 2014-9-21 20:15
我记得上次大师也发了很多Pass SSF的这类样本，连图标都是一样的雪花屏，MD看不到注入\修改进程的动作。

大师的大腿还有我的位置吗？

深山红叶__

墨家小子 发表于 2014-9-21 20:43
大师的大腿还有我的位置吗？

我刚刚重新下了bypass SSF的系列样本，MD依然无法看到注入。
目前怀疑以下两个API：
OpenEvent
PostMessage

墨家小子

深山红叶__ 发表于 2014-9-21 20:54
我刚刚重新下了bypass SSF的系列样本，MD依然无法看到注入。
目前怀疑以下两个API：
OpenEvent

你试过一楼的样本没 1 4 5这三个 基本上跟之前的注入貌似一样

深山红叶__

墨家小子 发表于 2014-9-21 20:56
你试过一楼的样本没 1 4 5这三个 基本上跟之前的注入貌似一样

MD可以拦截到4和5的修改进程内存操作，第一个就斯巴达了，发一个WM_Paint消息后，貌似explorer就被注入\内存修改了...

更正：

WM_Paint貌似并没有实质上的作用？阻止发送WM_Paint后explorer依然被注入\修改。

qq5150

墨家小子 发表于 2014-9-21 20:43
木有事
很想看看你的拦截截图还有日志呢

挂代xxxx理上的卡饭，传不了图，我导出给你发文字版的
（从下到上，允许访问内存才出现后面的步骤，阻止内存则对svchost开始同样的动作）

C:\Windows\SysWOW64\explorer.exe   拦截文件   C:\Users\jh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\88175ad.exe   
C:\Windows\SysWOW64\explorer.exe   创建进程   C:\Windows\SysWOW64\svchost.exe   
C:\Windows\SysWOW64\explorer.exe   修改文件   C:\88175ad   
D:\JH-LS-tmp\1 (5).EXE   访问内存   C:\Windows\SysWOW64\explorer.exe   
D:\JH-LS-tmp\1 (5).EXE   创建进程   C:\Windows\SysWOW64\explorer.exe   

coolcfan

OP是在什么配置等级下被过的？