查看: 11346|回复: 20
收起左侧

[讨论] DG测试

[复制链接]
墨家小子
发表于 2015-11-27 13:21:46 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2015-11-27 14:15 编辑

这个DG除了最常见的云拉黑就是各种各样的行为定义了(是这样吧?)

如果把拉黑的样本修改MD5,DG再次拦截就会看到行为定义

样本:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3

没修改MD5,DG直接显示的是云拉黑,就是那个online什么什么的

修改MD5再次测试,见图:




再来一个:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3



这个就一点反应都没有:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3

SHA256:        3b4c4e7e599c8faed34438e06463df0d31c7afc585a1d3c2de372a30a71d8195
File name:        3b4c4e7e599c8faed34438e06463df0d31c7afc585a1d3c2de372a30a71d8195.exe
Detection ratio:        19 / 55
Analysis date:        2015-11-27 05:34:05 UTC ( 0 minutes ago )


再来一个修改MD5就哑火的样本:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3

SSF拦截记录:
2015/11/27 13:43:03,C:\Users\eeeee\Desktop

\10745182ac1b738e4a363166f650069d16b81873b3bbb1990e7d07cb652495e8\c1e797e156e12ace6d852

e51d0b8aefef9c539502461efd8db563a722569e0d2.exe,41,Blocked ;修改受保护的文件 (C:\Windows

\kernel32.dll)

2015/11/27 13:43:07,C:\Users\eeeee\Desktop

\10745182ac1b738e4a363166f650069d16b81873b3bbb1990e7d07cb652495e8\c1e797e156e12ace6d852

e51d0b8aefef9c539502461efd8db563a722569e0d2.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,rtcamu64.exe)

2015/11/27 13:43:12,C:\Users\eeeee\Desktop

\10745182ac1b738e4a363166f650069d16b81873b3bbb1990e7d07cb652495e8\c1e797e156e12ace6d852

e51d0b8aefef9c539502461efd8db563a722569e0d2.exe,47,Allowed ;创建交换数据流 (C:\Users\eeeee

\AppData\Roaming\VFFiWwxx\rtcamu64.exe:Zone.Identifier)

2015/11/27 13:43:16,C:\Users\eeeee\Desktop

\10745182ac1b738e4a363166f650069d16b81873b3bbb1990e7d07cb652495e8\c1e797e156e12ace6d852

e51d0b8aefef9c539502461efd8db563a722569e0d2.exe,53,Allowed ;执行应用程序 (C:\Users\eeeee

\AppData\Roaming\VFFiWwxx\rtcamu64.exe C:\Users\eeeee\Desktop\107451~1\C1E797~1.EXE)

2015/11/27 13:43:53,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,41,Blocked ;修改受保

护的文件 (C:\Windows\kernel32.dll)

2015/11/27 13:43:55,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,26,Blocked ;修改受保

护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,rtcamu64.exe)

2015/11/27 13:43:59,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,41,Blocked ;修改受保

护的文件 (C:\Windows\Tasks\VFFiWwxx.job)

2015/11/27 13:44:02,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,26,Blocked ;修改受保

护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,rtcamu64.exe)

2015/11/27 13:44:05,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,50,Blocked ;使用 DNS

解析服务访问网络
2015/11/27 13:44:07,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,48,Blocked ;出站网络

访问


根据DG的定义,这是传说中的加密勒索样本??
https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3



再来一个DG没有反应的:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3

SSF拦截到的,先搞系统防火墙,然后加启动,然后键盘记录,然后联网……

C:\Windows\SysWOW64\netsh.exe
参数: h firewall add allowedprogram "C:\Users\AAAA\AppData\Local\Temp\server.exe" "server.exe" ENABLE

修改受保护的注册表项:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run,e8ed5560f360ee6eba2c3f9ac99e3d58
类别: 自启动

记录键盘输入

通过DNS解析器服务接入网络
建立 出站 网络连接 (TCP)
远程地址=malak2015.myq-see.com(197.164.6.97)  远程端口=5552


最后再来一个DG完美拦截的:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +3 收起 理由
驭龙 + 1 版区有你更精彩: )
xiaofeizei + 1 版区有你更精彩: )
欧阳宣 + 1

查看全部评分

胖福
发表于 2015-11-27 15:12:36 | 显示全部楼层
DG现在实际效果就算算上云也只能算一般了!
墨家小子
 楼主| 发表于 2015-11-27 16:54:12 | 显示全部楼层
胖福 发表于 2015-11-27 15:12
DG现在实际效果就算算上云也只能算一般了!

跟BD的AVC和GD的bb比还是差了一点
胖福
发表于 2015-11-27 21:39:45 | 显示全部楼层
墨家小子 发表于 2015-11-27 16:54
跟BD的AVC和GD的bb比还是差了一点

我甚至怀疑能不能比得上AVG的IDP!
xiaofeizei
头像被屏蔽
发表于 2015-11-27 22:01:22 | 显示全部楼层
胖福 发表于 2015-11-27 21:39
我甚至怀疑能不能比得上AVG的IDP!

胖福兄你认为国外哪款主防最好?
墨家小子
 楼主| 发表于 2015-11-27 22:18:17 | 显示全部楼层
胖福 发表于 2015-11-27 21:39
我甚至怀疑能不能比得上AVG的IDP!

起码没AVG那么卡
胖福
发表于 2015-11-28 15:03:59 | 显示全部楼层
xiaofeizei 发表于 2015-11-27 22:01
胖福兄你认为国外哪款主防最好?

不算HIPS类的话,检测率方面毫无疑问是BD,但不带回滚;其他各家诺顿、GD、BG、AVG等差距应该不大!
nick20010117
发表于 2015-11-28 15:36:18 | 显示全部楼层
本帖最后由 nick20010117 于 2015-11-28 15:40 编辑
胖福 发表于 2015-11-28 15:03
不算HIPS类的话,检测率方面毫无疑问是BD,但不带回滚;其他各家诺顿、GD、BG、AVG等差距应该不大!


FS跟BG相比拦截率怎样呢
FS的DG真的不好吗
xiaofeizei
头像被屏蔽
发表于 2015-11-28 15:45:48 | 显示全部楼层
胖福 发表于 2015-11-28 15:03
不算HIPS类的话,检测率方面毫无疑问是BD,但不带回滚;其他各家诺顿、GD、BG、AVG等差距应该不大!

谢谢胖福兄的回复。我也看好bd,不过没官中唯一的遗憾
哥在东北玩泥巴
发表于 2016-1-23 13:42:50 | 显示全部楼层
我现在用的FSP
加上火绒的主防
不冲突,互补。基本上不比其他的差了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:35 , Processed in 0.128392 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表