启动SVCHOST，利用svchost写入启动文件夹……过SSF（卤煮基于某些人的测试亲自开撸）

lixihong10

墨家小子 发表于 2015-12-21 16:55
我擦。。。那不累死啊，开机的一瞬间，估计你的内心是拒绝的

系统进程都分好级了。 不会拒绝他的

lixihong10

墨家小子 发表于 2015-12-21 16:56
结合上一个回帖，你这才是跟SSF的全部询问模式一样，看来毛豆需要打磨的地方很多啊

我的规则很宽松的。只有写非法操作才会弹窗拦截的。

墨家小子

lixihong10 发表于 2015-12-21 16:57
系统进程都分好级了。 不会拒绝他的

这也是自带的规则吗？

墨家小子

lixihong10 发表于 2015-12-21 16:58
我的规则很宽松的。只有写非法操作才会弹窗拦截的。

你还自己写规则了，不是删除信任厂商之后根据程序建立规则吗？

墨家小子

lixihong10 发表于 2015-12-21 16:58
我的规则很宽松的。只有写非法操作才会弹窗拦截的。

就拿这个样本来说，你用毛豆可以在放行注入之后看到explorer写启动项的行为吗？

lixihong10

墨家小子 发表于 2015-12-21 17:15
就拿这个样本来说，你用毛豆可以在放行注入之后看到explorer写启动项的行为吗？

前面不说了么。
他修改文件太多。所以我拦截终止了。COMODO 如果不弹窗是不记录日志的。
然后虚拟机上的图。

墨家小子

lixihong10 发表于 2015-12-21 17:29
前面不说了么。
他修改文件太多。所以我拦截终止了。COMODO 如果不弹窗是不记录日志的。
然后虚拟机上 ...

不是，我是说毛豆能不能做到放行注入之后还能监控到白名单被利用之后做出的行为
就像这个样本：http://bbs.kafan.cn/thread-1864097-1-1.html
放行注入修改内存，然后能不能看到explorer写入启动项

小飞侠.net

ESET Smart Security 64位（高级启发式+启发式）++（Win 10 th2....）

奇虎360杀毒 64位（QVM二代）++（Win 7....）

。。。。查杀结果看图：Scan finished. 8/21 scanners reported malware.


样本MD5：
文件名: C:\Documents and Settings\Administrator\桌面\样本测试\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\6dbb913a9c28a63bb81a86bc483341246536f97aa71cd7620f28261a06ff2d7b.rar
文件大小: 925795 字节 (904.10 KB)
修改日期: 2015-12-22 08:40
MD5: a7c189ab47edc95f24b23447e642252f
SHA1: f6e9faebb89c579638abfe4baab0c0d875bccc66
SHA256: 17ad9bba35968c0da7ac84b5463a6e3fb3b2f4a6e08e3a8c90e9cf6739b2148d
CRC32: af25bd94

lixihong10

墨家小子 发表于 2015-12-21 17:43
不是，我是说毛豆能不能做到放行注入之后还能监控到白名单被利用之后做出的行为
就像这个样本：http://b ...

我是 64，他执行的 explorer 是 syswow64下面的 explorer 这个我没有给权限的。

不过如果我给了explorer高权限的话不会有弹窗提示的。

所以我白名单进程都有保护或者权限很低。

墨家小子

lixihong10 发表于 2015-12-22 08:56
我是 64，他执行的 explorer 是 syswow64下面的 explorer 这个我没有给权限的。

不过如果我给了explor ...

牛人。。