楼主: 墨家小子
收起左侧

[其他相关] 关于VoodooShield的web anti-exploit实际效果(内有AppGuard的毒网测试)

[复制链接]
墨家小子
 楼主| 发表于 2016-1-25 14:01:41 | 显示全部楼层
本帖最后由 墨家小子 于 2016-1-25 15:51 编辑
qftest 发表于 2016-1-25 12:51
没事没事,谁叫VS的作者丹师傅没说清楚呢


我去。。。AG也拦截不到,注销之后照样启动
以下两个截图是注销前匆忙截图:




注销之后的log:
01/25/16 13:44:05 Protection level is set to <medium>.

01/25/16 13:44:09 Prevented process <msvcp60.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{f0d3befc-0e6a-49b1-b6ee-b40707328827}>.

01/25/16 13:44:10 Prevented process <scksp.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{0a57af4b-2092-4aab-9e6c-5f79fd148666}>.

01/25/16 13:44:19 Prevented process <cnvfat.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{49b9a045-a749-43de-afba-0d25ebefe36b}>.

01/25/16 13:44:23 Prevented process <tmp13e2.tmp | c:\windows\explorer.exe> from launching from <c:\users\AA\appdata\local\temp\{df907dca-1f42-4b8f-ab0e-e42a8424f8ae}>.

01/25/16 13:44:38 Prevented process <dhcpcsvc.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{248a4374-c0ba-4e72-bf07-277a3369ce88}>.

01/25/16 13:45:07 Prevented process <clfsw32.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{f41df4e1-6f46-4272-a6b8-4645c4a95bbb}>.

01/25/16 13:45:44 Prevented process <keymgr.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{55c5c478-3608-4801-b3fc-d3feb3417cab}>.

01/25/16 13:46:02 Prevented process <eqossnap.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{735696d8-0d94-43f0-85d9-02a5f85ff4f9}>.

01/25/16 13:46:41 Prevented process <mpr.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{2fc7cf8f-f0a9-4af8-9c5e-d707f1f7bb7a}>.

01/25/16 13:46:59 Prevented process <appmgr.dll | C:\Windows\System32\regsvr32.exe> from launching from <c:\programdata\windows genuine advantage\{82b0c380-211c-403d-91c8-368c2318b9e5}>.



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2016-1-25 14:07:01 | 显示全部楼层
驭龙 发表于 2016-1-25 13:19
但是很多真正的东西,我并没有说

我晕,你这个不说那个不说然而跟我说一堆,我不明白你什么意思,不想分享可以,没人拦你
墨家小子
 楼主| 发表于 2016-1-25 14:07:41 | 显示全部楼层
天蓝色的忧伤 发表于 2016-1-25 13:23
感觉你要火,评测不错

都是浮云了
墨家小子
 楼主| 发表于 2016-1-25 14:17:56 | 显示全部楼层

记得SS开全局进去,再次进入换个IP
切勿泄露地址,好不容易找来的
驭龙
发表于 2016-1-25 14:19:00 | 显示全部楼层
墨家小子 发表于 2016-1-25 14:07
我晕,你这个不说那个不说然而跟我说一堆,我不明白你什么意思,不想分享可以,没人拦你

难道我分享的还少么?

那我跟你说一个我要黑的东西,那就是DrWeb的Exploit Prevention也就是Katana的Exploit防御,现在真的很烂,我说的是现在的Katana 1.0
墨家小子
 楼主| 发表于 2016-1-25 14:24:59 | 显示全部楼层
驭龙 发表于 2016-1-25 14:19
难道我分享的还少么?

那我跟你说一个黑,那就是DrWeb的Exploit Prevention也就是Katana的Exploit防御 ...

我只想说大家都能普遍接受的结论就是在测试的基础上所产生的信服力,你结论挺多却看不到测试。
驭龙
发表于 2016-1-25 14:47:49 | 显示全部楼层
墨家小子 发表于 2016-1-25 14:24
我只想说大家都能普遍接受的结论就是在测试的基础上所产生的信服力,你结论挺多却看不到测试。

这你说错了,因为这个是我双击上百个样本的结论,而不是理论,Katana只是对注入效果还可以,其他就一般了。

不要把没有测MBAE一件事,看作成一切好吗?除了MBAE之外,我说的其他东西,绝大部分都是有实际测试的,只是那个MBAE是个特例,因为不喜欢它
墨家小子
 楼主| 发表于 2016-1-25 15:42:47 | 显示全部楼层
本帖最后由 墨家小子 于 2016-1-25 15:49 编辑
qftest 发表于 2016-1-25 12:22
这个已经到本地了,恐怕不是anti-exploit生效,而是下面那个


再给你看看NoVirusThanks EXE Radar Pro的

样本:http://bbs.kafan.cn/thread-1936075-1-1.html

拦截到三个木马之后,还是有系统进程不停出现,拦到手软……没注销,估计注销之后这些异常的系统进程还是会出现





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
发表于 2016-1-25 18:24:58 | 显示全部楼层
墨家小子 发表于 2016-1-25 15:42
再给你看看NoVirusThanks EXE Radar Pro的

样本:http://bbs.kafan.cn/thread-1936075-1-1.html

好想知道为什么,求楼下大神科普
qpzmggg999
发表于 2016-1-25 19:48:00 | 显示全部楼层
墨家小子 发表于 2016-1-25 14:24
我只想说大家都能普遍接受的结论就是在测试的基础上所产生的信服力,你结论挺多却看不到测试。

不仅是没有测试

而且有时候龙大的使用的理论和最后得出结论还不太正确
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-29 10:58 , Processed in 0.094395 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表