关于VoodooShield的web anti-exploit实际效果（内有AppGuard的毒网测试）

显示全部楼层 · 发表于 2016-1-25 14:01:41

本帖最后由墨家小子于 2016-1-25 15:51 编辑

qftest 发表于 2016-1-25 12:51
没事没事，谁叫VS的作者丹师傅没说清楚呢

我去。。。AG也拦截不到，注销之后照样启动
以下两个截图是注销前匆忙截图：

注销之后的log：
01/25/16 13:44:05 Protection level is set to <medium>.

01/25/16 13:44:09 Prevented process <msvcp60.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{f0d3befc-0e6a-49b1-b6ee-b40707328827}>.

01/25/16 13:44:10 Prevented process <scksp.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{0a57af4b-2092-4aab-9e6c-5f79fd148666}>.

01/25/16 13:44:19 Prevented process <cnvfat.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{49b9a045-a749-43de-afba-0d25ebefe36b}>.

01/25/16 13:44:23 Prevented process <tmp13e2.tmp | c:\windows\explorer.exe> from launching from <c:\users\AA\appdata\local\temp\{df907dca-1f42-4b8f-ab0e-e42a8424f8ae}>.

01/25/16 13:44:38 Prevented process <dhcpcsvc.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{248a4374-c0ba-4e72-bf07-277a3369ce88}>.

01/25/16 13:45:07 Prevented process <clfsw32.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{f41df4e1-6f46-4272-a6b8-4645c4a95bbb}>.

01/25/16 13:45:44 Prevented process <keymgr.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{55c5c478-3608-4801-b3fc-d3feb3417cab}>.

01/25/16 13:46:02 Prevented process <eqossnap.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{735696d8-0d94-43f0-85d9-02a5f85ff4f9}>.

01/25/16 13:46:41 Prevented process <mpr.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{2fc7cf8f-f0a9-4af8-9c5e-d707f1f7bb7a}>.

01/25/16 13:46:59 Prevented process <appmgr.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{82b0c380-211c-403d-91c8-368c2318b9e5}>.

显示全部楼层 · 发表于 2016-1-25 14:07:01

驭龙发表于 2016-1-25 13:19
但是很多真正的东西，我并没有说

我晕，你这个不说那个不说然而跟我说一堆，我不明白你什么意思，不想分享可以，没人拦你

显示全部楼层 · 发表于 2016-1-25 14:07:41

天蓝色的忧伤发表于 2016-1-25 13:23
感觉你要火，评测不错

都是浮云了

显示全部楼层 · 发表于 2016-1-25 14:17:56

综合症初期患者发表于 2016-1-25 12:54
那能PM吗？

记得SS开全局进去，再次进入换个IP
切勿泄露地址，好不容易找来的

显示全部楼层 · 发表于 2016-1-25 14:19:00

墨家小子发表于 2016-1-25 14:07
我晕，你这个不说那个不说然而跟我说一堆，我不明白你什么意思，不想分享可以，没人拦你

难道我分享的还少么？

那我跟你说一个我要黑的东西，那就是DrWeb的Exploit Prevention也就是Katana的Exploit防御，现在真的很烂，我说的是现在的Katana 1.0

显示全部楼层 · 发表于 2016-1-25 14:24:59

驭龙发表于 2016-1-25 14:19
难道我分享的还少么？

那我跟你说一个黑，那就是DrWeb的Exploit Prevention也就是Katana的Exploit防御 ...

我只想说大家都能普遍接受的结论就是在测试的基础上所产生的信服力，你结论挺多却看不到测试。

显示全部楼层 · 发表于 2016-1-25 14:47:49

墨家小子发表于 2016-1-25 14:24
我只想说大家都能普遍接受的结论就是在测试的基础上所产生的信服力，你结论挺多却看不到测试。

这你说错了，因为这个是我双击上百个样本的结论，而不是理论，Katana只是对注入效果还可以，其他就一般了。

不要把没有测MBAE一件事，看作成一切好吗？除了MBAE之外，我说的其他东西，绝大部分都是有实际测试的，只是那个MBAE是个特例，因为不喜欢它

显示全部楼层 · 发表于 2016-1-25 15:42:47

本帖最后由墨家小子于 2016-1-25 15:49 编辑

qftest 发表于 2016-1-25 12:22
这个已经到本地了，恐怕不是anti-exploit生效，而是下面那个

再给你看看NoVirusThanks EXE Radar Pro的

样本：http://bbs.kafan.cn/thread-1936075-1-1.html

拦截到三个木马之后，还是有系统进程不停出现，拦到手软……没注销，估计注销之后这些异常的系统进程还是会出现

显示全部楼层 · 发表于 2016-1-25 18:24:58

墨家小子发表于 2016-1-25 15:42
再给你看看NoVirusThanks EXE Radar Pro的

样本：http://bbs.kafan.cn/thread-1936075-1-1.html

好想知道为什么，求楼下大神科普

显示全部楼层 · 发表于 2016-1-25 19:48:00

墨家小子发表于 2016-1-25 14:24
我只想说大家都能普遍接受的结论就是在测试的基础上所产生的信服力，你结论挺多却看不到测试。

不仅是没有测试

而且有时候龙大的使用的理论和最后得出结论还不太正确

[其他相关] 关于VoodooShield的web anti-exploit实际效果（内有AppGuard的毒网测试）

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块