Detection ratio: 3 / 55 SSF防御失败，文档被加密（测试下哪家主防能防御）

显示全部楼层 · 发表于 2015-12-10 21:34:38

墨家小子发表于 2015-12-10 21:32
我真晕，允许干什么？拦截，拦截之后看看是不是还是被加密

抱歉没玩过这个类型的，不懂

显示全部楼层 · 发表于 2015-12-10 21:35:19

@230f4 看看BD会不会也被咔嚓

显示全部楼层 · 发表于 2015-12-10 21:35:25

本帖最后由毛豆新人于 2015-12-11 10:16 编辑

CIS怒刷一波存在感
虚拟机只有一个C盘，所以是否加密其它盘不知道
关闭云查询
viruscope无反应，hips在样本运行初期警报
两种实验：

沙盘：
CIS 默认规则，入沙后样本执行加密，viruscope无警报

两次都是
不过，文件安全，加密动作在沙盘内（沙盘内加密文件与C盘实际文件对比）

一波加密800+ MB，卡的我像看幻灯片一样。这里的问题是，我记得沙盘虚拟化是有大小限制的，如果实机文件很多，可能是会出事的，因为可能无法全部虚拟化

HIPS安全模式，默认规则：
运行后警报，（“防御+”恶意软件启发分析已经在...探测到可能的恶意行为）
此处阻止，文件未被加密（判断方式：每加密一处，就会留下HELLOTHERE.txt，用Everything搜索，发现只有一处有该文件）
后续会有提示文件修改，选择阻止即可，一旦允许修改，就有部分文件被加密，不过多与少的问题罢了

显示全部楼层 · 发表于 2015-12-10 21:36:40

aboringman 发表于 2015-12-10 21:35
@230f4 看看BD会不会也被咔嚓

23点左右测试

显示全部楼层 · 发表于 2015-12-10 21:37:08

yx464136869 发表于 2015-12-10 21:34
抱歉没玩过这个类型的，不懂

恢复快照，再来一次嘛客官

显示全部楼层 · 发表于 2015-12-10 21:37:53

墨家小子发表于 2015-12-10 21:37
恢复快照，再来一次嘛客官

zheng zai jinxing ...

显示全部楼层 · 发表于 2015-12-10 21:38:38

毛豆新人发表于 2015-12-10 21:35
CIS怒刷一波存在感
虚拟机只有一个C盘，所以是否加密其它盘不知道
两种实验：

沙盘测什么意思，hips就一个行为吗？

显示全部楼层 · 发表于 2015-12-10 21:40:05

yx464136869 发表于 2015-12-10 21:37
zheng zai jinxing ...

卡饭有你更神经，不对，更精彩

显示全部楼层 · 发表于 2015-12-10 21:40:56

本帖最后由毛豆新人于 2015-12-10 21:44 编辑

墨家小子发表于 2015-12-10 21:38
沙盘测什么意思，hips就一个行为吗？

分两种测试：一种只开沙盘，一种只开hips
hips警报后，我没有及时点击，行为挂起，如果点击“阻止”，那么就该是一切正常，除非作死手动信任该动作

显示全部楼层 · 发表于 2015-12-10 21:44:40

毛豆新人发表于 2015-12-10 21:40
分两种测试：一种只开沙盘，一种只开hips
hips警报后，我没有及时点击，行为挂起，如果点击“阻止” ...

这一步执行你就阻止了还玩什么啊？那不成万物拦了？

[可疑文件] Detection ratio: 3 / 55 SSF防御失败，文档被加密（测试下哪家主防能防御）

本帖子中包含更多资源

评分

浏览过的版块