查看: 16256|回复: 55
收起左侧

[其他相关] 关于VoodooShield的web anti-exploit实际效果(内有AppGuard的毒网测试)

[复制链接]
墨家小子
发表于 2016-1-25 12:14:01 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2016-1-25 14:10 编辑

昨天看到小q提到VoodooShield免费版居然有个web anti-exploit功能,果断进挂马网页测试了一下,截图一步步说明:

第一、二、三张截图,VoodooShield很嚣张的在木马运行前弹窗提示,没什么说的,直接拦截掉,看图:




然而……过了一会,打开processhacke一看,不知道怎么回事,木马启动了好多系统进程,而且,这些系统进程行为异常,根据之前的SSF的测试(此处见:http://bbs.kafan.cn/thread-1935958-1-1.html),进入挂马网页之后先是conhost.exe启动taskhost.exe,然后conhost.exe再启动explorer,看图吧:




既然木马运行之前已经被拦截了,没有行为效果,于是果断注销(不能重启,影子)……注销回来之后,看到那些“异常”活跃系统进程启动了~~至于为什么会启动,别问我,我也不知道,根据SSF的测试,即使拦截了那些tmp木马添加启动项的行为,注销之后依然会有大量的“异常”系统进程启动


结论:然并卵

样本见:http://bbs.kafan.cn/thread-1936041-1-1.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5人气 +5 收起 理由
windows7爱好者 + 1 感谢支持,欢迎常来: )
HEMM + 1 欢迎常来打麻将~
驭龙 + 1 RQ到了,我说话算话的,好帖
ericdj + 1 神马都是浮云
天蓝色的忧伤 + 1 看看

查看全部评分

墨家小子
 楼主| 发表于 2016-1-25 14:01:41 | 显示全部楼层
本帖最后由 墨家小子 于 2016-1-25 15:51 编辑
qftest 发表于 2016-1-25 12:51
没事没事,谁叫VS的作者丹师傅没说清楚呢


我去。。。AG也拦截不到,注销之后照样启动
以下两个截图是注销前匆忙截图:




注销之后的log:
01/25/16 13:44:05 Protection level is set to <medium>.

01/25/16 13:44:09 Prevented process <msvcp60.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{f0d3befc-0e6a-49b1-b6ee-b40707328827}>.

01/25/16 13:44:10 Prevented process <scksp.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{0a57af4b-2092-4aab-9e6c-5f79fd148666}>.

01/25/16 13:44:19 Prevented process <cnvfat.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{49b9a045-a749-43de-afba-0d25ebefe36b}>.

01/25/16 13:44:23 Prevented process <tmp13e2.tmp | c:\windows\explorer.exe> from launching from <c:\users\AA\appdata\local\temp\{df907dca-1f42-4b8f-ab0e-e42a8424f8ae}>.

01/25/16 13:44:38 Prevented process <dhcpcsvc.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{248a4374-c0ba-4e72-bf07-277a3369ce88}>.

01/25/16 13:45:07 Prevented process <clfsw32.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{f41df4e1-6f46-4272-a6b8-4645c4a95bbb}>.

01/25/16 13:45:44 Prevented process <keymgr.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{55c5c478-3608-4801-b3fc-d3feb3417cab}>.

01/25/16 13:46:02 Prevented process <eqossnap.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{735696d8-0d94-43f0-85d9-02a5f85ff4f9}>.

01/25/16 13:46:41 Prevented process <mpr.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{2fc7cf8f-f0a9-4af8-9c5e-d707f1f7bb7a}>.

01/25/16 13:46:59 Prevented process <appmgr.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{82b0c380-211c-403d-91c8-368c2318b9e5}>.



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2016-1-25 15:42:47 | 显示全部楼层
本帖最后由 墨家小子 于 2016-1-25 15:49 编辑
qftest 发表于 2016-1-25 12:22
这个已经到本地了,恐怕不是anti-exploit生效,而是下面那个


再给你看看NoVirusThanks EXE Radar Pro的

样本:http://bbs.kafan.cn/thread-1936075-1-1.html

拦截到三个木马之后,还是有系统进程不停出现,拦到手软……没注销,估计注销之后这些异常的系统进程还是会出现





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
发表于 2016-1-25 12:22:09 | 显示全部楼层
我是来看测试的,人气稍后,昨天晚上两个都消耗掉了
qftest
发表于 2016-1-25 12:22:52 | 显示全部楼层
这个已经到本地了,恐怕不是anti-exploit生效,而是下面那个


反正我不知道怎么让VS弹出想象中的anti-exploit框框。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2016-1-25 12:24:57 | 显示全部楼层
qftest 发表于 2016-1-25 12:22
这个已经到本地了,恐怕不是anti-exploit生效,而是下面那个

圈上的两个都没有起效,可以开喷了

评分

参与人数 1人气 +1 收起 理由
qftest + 1 恩,看起来也不象下面那个,否则会提示父进.

查看全部评分

qftest
发表于 2016-1-25 12:26:35 | 显示全部楼层
墨家小子 发表于 2016-1-25 12:24
圈上的两个都没有起效,可以开喷了

不敢喷VS,只能欺负下老实又顽固的SS
墨家小子
 楼主| 发表于 2016-1-25 12:26:52 | 显示全部楼层
驭龙 发表于 2016-1-25 12:22
我是来看测试的,人气稍后,昨天晚上两个都消耗掉了

自己不测试有什么用,起码自己测试能知道自己喜欢用的东西有哪些实际效果
cxy密斯
发表于 2016-1-25 12:31:38 | 显示全部楼层
表示不喜欢这ui
驭龙
发表于 2016-1-25 12:32:19 | 显示全部楼层
墨家小子 发表于 2016-1-25 12:26
自己不测试有什么用,起码自己测试能知道自己喜欢用的东西有哪些实际效果

谁说我没有测试呢?难道就因为我没有测试MBAE就代表别的都没有测试过?这是不对滴,我只是对我感兴趣的测试如Norton和MA、Avira、ESET、Kaspersky、DrWeb什么的,都有详细的测试,只是没有发出来而已
综合症初期患者
发表于 2016-1-25 12:33:28 | 显示全部楼层
楼主可以把挂马网页的链接放一下吗?
墨家小子
 楼主| 发表于 2016-1-25 12:34:15 | 显示全部楼层
qftest 发表于 2016-1-25 12:26
不敢喷VS,只能欺负下老实又顽固的SS

SpyShelter放行开始的两步,任你后面怎么拦截怎么终止也白扯,奇怪的是添加启动项的行为都阻止了,为什么注销之后还会启动那么多系统进程
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-29 10:35 , Processed in 0.806424 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表