查看: 26317|回复: 84
收起左侧

[技术探讨] 【11月26 官方公布PUA模式】AntiMalware Platform的暗藏玄机,默认没有开启的PUA查杀

  [复制链接]
驭龙
发表于 2015-11-16 20:02:32 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2015-11-27 12:57 编辑

2015年11月27日,更新

官方开始正式宣布PUA杀的详情
原文如下
http://blogs.technet.com/b/mmpc/ ... our-enterprise.aspx

说一下重点内容,开启方法是跟下面的方法完全相同的,至于有些饭友无法杀PUA,是因为位置问题,官方说杀PUA的位置是这样的
What does PUA protection look like?

By default, PUA protection quarantines the file so they won’t run. PUA will be blocked only at download or install-time. A file will be included for blocking if it meets one of the following conditions:
•The file is being scanned from the browser
•The file has Mark of the Web set
•The file is in the %downloads% folder
•Or if the file in the %temp% folder

机器翻译:
是什么PUA保护是什么样子?
默认情况下,PUA保护隔离,使他们不会运行该文件。 PUA只会在下载被封锁或安装时间。一个文件将包含用于阻挡如果符合下列条件之一:
•文件正在从浏览器扫描
•该文件的网页设置的标志
•文件是%下载%文件夹中
•或者,如果在%temp%文件夹中的文件


开启PUA以后的效果是这样的
PUA threat file-naming convention

When enabled, we will start identifying unwanted software with threat names that start with “PUA:”, such as, PUA:Win32/Creprote.

Specific researcher-driven signatures identify the following:
•Software bundling technologies
•PUA applications
•PUA frameworks

机器翻译
PUA威胁的文件命名约定
启用后,我们将开始识别与开始的威胁名字不需要的软件“PUA:”比如,PUA:的Win32/ Creprote。
具体研究驱动型特征识别以下内容:
•软件捆绑技术
•PUA应用
•PUA框架


==========================================================
大家还记得这个帖子里,我说的Severe级PUA定义吗?大家是不是没有见到呢?
http://bbs.kafan.cn/thread-1860302-1-1.html

实际上我告诉大家,AMP现在默认是没有开PUA杀的,所以我们见不到Severe级别的PUA报法。

现在我把开启PUA Severe Level查杀的方法告诉大家,不过要注意一下,开了PUA杀,可能会有误报的情况。




将附件注册表导入系统注册表,重新启动Windows 以后,运行一次特征库更新。
win 8/win 8.1/win 10 全系WD 4.8以后版本,理论上X86注册表值是支持X64系统的,所以我不确定X64注册表值的有效性,现在还是改回通用注册表值。


MSE和SCEP(之前疏忽大意,现在修复问题)未测试,
可能未必有效,我会抽空测试一下


如果X64系统不起效果,我也没办法了。
附件可卸载对应版本的注册值


上述操作结束以后,去样本区的这个帖子测试一下吧
http://bbs.kafan.cn/thread-1864767-1-1.html

PS:这个方法我现在是在测试中,如不起效,请耐心等待

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5原创 +1 人气 +4 收起 理由
wjy19800315 + 1 版区有你更精彩: )
ctrlz2z + 1 赞一个!
聽莧 + 1 版区有你更精彩: )
sunnyjianna + 1 精品文章
HEMM + 1 先一发~

查看全部评分

本帖被以下淘专辑推荐:

HEMM
发表于 2015-11-17 12:18:57 | 显示全部楼层
本帖最后由 HEMM 于 2015-11-17 12:20 编辑
驭龙 发表于 2015-11-17 12:16
我之前就说是通用的吧,不过我还是更新了64位的,应该更好一点吧,你可以试一下


= =我之前的,一次成功,没有什么异样....
按道理我应该比其他人更难享受这个待遇,你懂的,神网....
可神网都能,我想没什么问题。
我也就特征库更新难点,无云.....

会不会是导入后没重启.........
驭龙
 楼主| 发表于 2015-11-17 14:20:31 | 显示全部楼层
君陌潇 发表于 2015-11-17 14:17
看来 用户强制打开  也会被官方更新关闭- -

不是,跟官方没关系,是本地缓存和数据加载的问题,不是官方的问题,我之所以让大家重启以后更新,就是为了改本地就加载缓存,这才是重启以后更新的目的,并不是更新数据,实际上PUA定义一直在系统上,只是没有被激活
HEMM
发表于 2015-11-16 20:10:02 | 显示全部楼层
本帖最后由 HEMM 于 2015-11-16 20:13 编辑

耐心等待缓存失败~
报告龙老师,我已经忘光了,要不是你贴出个连接出来,我已经在九霄云外的路上。
这么好玩~
我赶紧下载下来玩玩,咩嘿嘿嘿嘿~

对了!忘记了一个重要的,开启后怎么关闭它......

是不是把1改成0就可以了

完蛋!我一个手滑,把信誉关闭了........
杀软神马
发表于 2015-11-16 20:10:39 | 显示全部楼层
我就说龙神 要发大帖子了
驭龙
 楼主| 发表于 2015-11-16 20:16:15 | 显示全部楼层
HEMM 发表于 2015-11-16 20:10
耐心等待缓存失败~
报告龙老师,我已经忘光了,要不是你贴出个连接出来,我已经在九霄云外的路上。
这么 ...

改0,就等于关闭PUAs杀,也就是说注册表值已经没有用了,必须是1才是开启PUA杀
杀软神马
发表于 2015-11-16 20:16:17 | 显示全部楼层
本帖最后由 杀软神马 于 2015-11-16 20:17 编辑

这种吱吱吱吱吱吱  重启桌面的样本之被秒杀 监控要不要 这么灵敏?
我只能说 求更多注册表导入
驭龙
 楼主| 发表于 2015-11-16 20:17:29 | 显示全部楼层
杀软神马 发表于 2015-11-16 20:10
我就说XX要发大帖子了

你如果不把那两个字改掉,我以后就不会再发关于MA的技术帖
HEMM
发表于 2015-11-16 20:18:35 | 显示全部楼层
本帖最后由 HEMM 于 2015-11-16 20:22 编辑
驭龙 发表于 2015-11-16 20:16
改0,就等于关闭PUAs杀,也就是说注册表值已经没有用了,必须是1才是开启PUA杀


谢了老师~这次我尝试记牢,但我过不了多久就会忘光的,嘻嘻~我去看看有木有误杀我电脑内的游戏。
多谢了,我有新玩具了,我去欢乐的玩耍去了。
晕!重下,一个手滑删除了
杀软神马
发表于 2015-11-16 20:18:54 | 显示全部楼层
驭龙 发表于 2015-11-16 20:17
你如果不把那两个字改掉,我以后就不会再发关于MA的技术帖

这么叼? 好吧 龙哥威武
wjy19800315
发表于 2015-11-16 20:19:54 | 显示全部楼层
终于知道原因了!!!
论坛有你更精彩
驭龙
 楼主| 发表于 2015-11-16 20:20:49 | 显示全部楼层
杀软神马 发表于 2015-11-16 20:18
这么叼? 好吧 龙哥威武

我最讨厌龙X这种叫法,所以我很不喜欢这个叫法,请改一下,谢谢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 04:20 , Processed in 0.140217 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表