楼主: 驭龙
收起左侧

[技术探讨] 【技术帖再次来袭】窥探AMP BM隐形的强大,BM技术是遥测+特征匹配[更新重磅内容]

  [复制链接]
驭龙
 楼主| 发表于 2015-10-21 14:42:04 | 显示全部楼层
li13911 发表于 2015-10-21 14:39
这种主防的缺点就是如果马往外传文件或者消息,活儿干完了才杀,也就有点晚了。

不完全是遥测的,还有直接杀
EnZhSTReLniKoVa
发表于 2015-10-21 15:22:20 | 显示全部楼层
配合HitmanPro.Alert  效果很不错  只可惜这货价格感人。
驭龙
 楼主| 发表于 2015-10-21 15:51:01 | 显示全部楼层
君陌潇 发表于 2015-10-21 15:22
配合HitmanPro.Alert  效果很不错  只可惜这货价格感人。

唉,EMET不支持Edge才是让人心碎的事情,而且HitmanPro.Alert好像影响性能,如Word的启动速度就大打折扣
EnZhSTReLniKoVa
发表于 2015-10-21 15:53:02 | 显示全部楼层
驭龙 发表于 2015-10-21 15:51
唉,EMET不支持Edge才是让人心碎的事情,而且HitmanPro.Alert好像影响性能,如Word的启动速度就大打折扣

谁叫EDGE 自带一些安全。 WORD 启动速度还好 能接受范围

驭龙
 楼主| 发表于 2015-10-21 16:02:23 | 显示全部楼层
君陌潇 发表于 2015-10-21 15:53
谁叫EDGE 自带一些安全。 WORD 启动速度还好 能接受范围

是啊,Microsoft说Edge自带最新高级安全技术和沙箱技术,所以不需要EMET,不过有一个额外保护还是不错的,需要HMPA或者MalwareBytes AntiExploit了
EnZhSTReLniKoVa
发表于 2015-10-21 22:58:08 | 显示全部楼层
驭龙 发表于 2015-10-21 16:02
是啊,Microsoft说Edge自带最新高级安全技术和沙箱技术,所以不需要EMET,不过有一个额外保护还是不错的 ...

刚才无聊 加了个SSF  用下  。终身码 差点生灰了。
jpzy
发表于 2015-10-22 10:21:41 | 显示全部楼层
假如,构造一个低威胁样本,运行后首先阻止MA联网,过了MA监控以后再联网下载其它高威胁样本,然后破坏系统和MA本体。。。这样能绕过MA么?
驭龙
 楼主| 发表于 2015-10-22 10:47:00 | 显示全部楼层
jpzy 发表于 2015-10-22 10:21
假如,构造一个低威胁样本,运行后首先阻止MA联网,过了MA监控以后再联网下载其它高威胁样本,然后破坏系统 ...

由于WD耍无赖的PPL技术,基本上很难破坏掉WD,而且下载高危的威胁,必然无法躲避WD的本地特征库和Behavior Severe Level 拦截
ELOHIM
发表于 2015-10-22 10:50:02 | 显示全部楼层
jpzy 发表于 2015-10-22 10:21
假如,构造一个低威胁样本,运行后首先阻止MA联网,过了MA监控以后再联网下载其它高威胁样本,然后破坏系统 ...



MA本地杀不是吃素的。不是国内那种相当依赖云的。
思路比较好。
MSE不联网查杀可能不会提示用户。
但是更新不了就会提示了。
msseces.exe  mpcmdrun.exe 都可以更新。windows update也可以更新。
途径很多。
继续完善看看MSE会不会酱紫被绕。
jpzy
发表于 2015-10-22 20:38:37 | 显示全部楼层
驭龙 发表于 2015-10-22 10:47
由于WD耍无赖的PPL技术,基本上很难破坏掉WD,而且下载高危的威胁,必然无法躲避WD的本地特征库和Behavio ...

本地特征肯定容易过。
如果低威胁样本做到了阻止MA联网查找云服务,并且绕过了本地特征,那剩下的就看本地的Behavior Severe的能力了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 05:50 , Processed in 0.100424 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表