Detection ratio: 3 / 55 一个带来一窝

驭龙

T.Yoshiyuki 发表于 2015-12-1 16:12
看来ESET没漏 那就好
不过我正在想 按照ESET的尿性不是文件监控被过了基本就没戏了吗……
除非把HIPS开 ...

现在ESET有Advanced Memory Scanner双击能拦一些的了

另外现在的ESS已经有云杀和监控，凡是Suspicion Object报法就是云，我这几天经常见到的
看我隔离区还有一个云杀

T.Yoshiyuki

驭龙 发表于 2015-12-1 16:20
现在ESET有Advanced Memory Scanner双击能拦一些的了

另外现在的ESS已经有云杀和监控，凡是Suspicion  ...

Suspicion Object啊……涨姿势了

高级内存扫描和普通的扫描或者启发有何区别？过了扫描还能拦住吗？

驭龙

T.Yoshiyuki 发表于 2015-12-1 16:46
Suspicion Object啊……涨姿势了

高级内存扫描和普通的扫描或者启发有何区别？过了扫描还能拦住吗？

高级内存扫描可以识别一些静态启发无法分析出的威胁，例如一些混淆技术编写的威胁，静态分析是无法分析的，但这种威胁在运行的时候，内存必然会有恶意行为，这样内存扫描就可以发现了，但现在的AMS效果并不能达到真正智能主防的效果

T.Yoshiyuki

驭龙 发表于 2015-12-1 16:56
高级内存扫描可以识别一些静态启发无法分析出的威胁，例如一些混淆技术编写的威胁，静态分析是无法分析的 ...

不错 这些技术资料哪里可以学习（其实就是获取心理安慰） 有的话给个链接……中英都可以

驭龙

T.Yoshiyuki 发表于 2015-12-1 17:03
不错 这些技术资料哪里可以学习（其实就是获取心理安慰） 有的话给个链接……中英都可以

这个不是最新的介绍，但是很全面的
http://www.eset.com/int/about/technology/

ccboxes

BD实机双击，全部被ATC拦截后删除。

yzt1004

@墨家小子

第一个样本

d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.exe

是有添加开机启动的行为对不？SSF 日志不熟。

Emsisoft 分析师/客服 非跟我说这个样本它们主防没过，都是用户的错，气死我了

sunnyjianna

日志
正在扫描日志
病毒库版本: 12653P (20151201)
日期: 2015/12/1  时间: 21:45:03
已扫描的磁盘、文件夹和文件: C:\Users\Nelumbonucifera\Downloads\d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.rar;C:\Users\Nelumbonucifera\Downloads\glitch-56.rar;C:\Users\Nelumbonucifera\Downloads\jedec-3.rar
C:\Users\Nelumbonucifera\Downloads\d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.rar > RAR > d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.exe - Win32/TrojanDownloader.Nymaim.BA 特洛伊木马 - 已删除 - 已隔离
C:\Users\Nelumbonucifera\Downloads\glitch-56.rar > RAR > glitch-56.exe - Win32/TrojanDownloader.Nymaim.BA 特洛伊木马 - 已删除 - 已隔离
C:\Users\Nelumbonucifera\Downloads\jedec-3.rar > RAR > jedec-3.exe - Win32/TrojanDownloader.Nymaim.BA 特洛伊木马 - 已删除 - 已隔离
已扫描的对象数: 3
发现的威胁数: 3
已清除对象数: 3
完成时间: 21:45:03  总扫描时间: 0 秒 (00:00:00)

墨家小子

yzt1004 发表于 2015-12-1 21:40
@墨家小子

第一个样本

2015/11/30 20:35:38,C:\Users\AAAAAA\Desktop\11\d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,jedec-81)

有啊有啊

墨家小子

yzt1004 发表于 2015-12-1 21:40
@墨家小子

第一个样本

你EAM主防没有反应吗