更新win10 viruscope发威 干掉svchost.exe

pbbh07

虽然误报  viruscope总算有点存在感了

xin053

就是这样找存在感的么。吓尿

cwl12315

你的viruscope设置的不是仅沙盘？还是别的程序在沙盘里注入svchost了，然后导致的误报？

毛豆新人

可以双击些高危样本如勒索软件，viruscope就能刷点存在感，例
http://bbs.kafan.cn/thread-1861867-1-1.html
http://bbs.kafan.cn/thread-1859839-1-1.html

cwl12315

毛豆新人 发表于 2015-11-13 18:56
可以双击些高危样本如勒索软件，viruscope就能刷点存在感，例
http://bbs.kafan.cn/thread-1861867 ...

CCAV hotfix发布后，能用了吗？只用自动沙盘应该不错吧

毛豆新人

cwl12315 发表于 2015-11-13 18:59
CCAV hotfix发布后，能用了吗？只用自动沙盘应该不错吧

据目前反馈： 中文依旧没有，卡顿问题有改善，至于云反应速度得看你的网络环境。  自动沙盘几乎没东西可设置，是很简洁的，不过比目前的CIS沙盘多了反keylogger功能（反键盘记录器），亮点之一
亮点之二（最大亮点）是，据Candygu：

不同于CIS共用同一个全局的沙盘空间，CCAV沙盘里的每一个进程有自己独立的沙盘空间。

所以说，现在CCAV的沙盘还是很有吸引力的

cwl12315

毛豆新人 发表于 2015-11-13 19:03
据目前反馈： 中文依旧没有，卡顿问题有改善，至于云反应速度得看你的网络环境。  自动沙盘几乎没东西 ...

谢啦，回头装上耍耍，毛豆的沙盘能直接看进程详细行为，这点比sandboxie爽。
sandboxie的资源访问日志看不懂

电脑发烧友

。。。。。。检测率本来就感人，再来个误报。。。。。

pbbh07

毛豆新人 发表于 2015-11-13 19:03
据目前反馈： 中文依旧没有，卡顿问题有改善，至于云反应速度得看你的网络环境。  自动沙盘几乎没东西 ...

http://bbs.kafan.cn/forum.php?mo ... ;page=1#pid36287965
这个样本漏沙了
在tasks目录创建了一个job文件

毛豆新人

pbbh07 发表于 2015-11-13 22:25
http://bbs.kafan.cn/forum.php?mo ... ;page=1#pid36287965
这个样本漏沙了
在tas ...

喜闻乐见的漏了，那个样本我看你用CCAV沙盘测了，就没再理了。CCAV的沙盘无法设置，这样就没有进一步的限制（低权限、限制级、不信任，所以虚拟桌面一切都只有全盘虚拟还是不爽），还是可能被过的

然后关于漏沙：  1. 漏沙的可能性还是有的。我自己试过一次，还在救援区发过贴http://bbs.kafan.cn/thread-1858163-1-1.html，样本在当天的精睿样本or外国人收集的样本里面，原谅我后来也没找到是哪个。成功在  C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\下加入system.pif并开机启动，虽然因为是未知文件又被沙盘收了进去。不过还好，目前双击也就这一个穿了（或者穿了我不知道）

2.流氓下载器穿沙，我记得有个豆油说他被下载器穿过（我并没试过，推测一下），就是下载器入沙，可是安装程序成功装入实机了。这个应该跟毛豆追求便捷使用有关：1.默认的识别安装程序  2.放行白名单的安装程序
我自己是关掉了“信任由受信的安装程序安装的文件”，一个例子：我测流氓的时候，经常看到爱奇艺的安装程序，而且云扫描鉴定为白名单，如果没关掉那条预设的规则，爱奇艺就成功进入实机了。但是并不是所有的流氓都有白名单，所以不明白为什么会全漏了