File name: C59.tmp.exe Detection ratio: 2 / 54 加密勒索挂马 ESET hips拦截注入

windows7爱好者

vm001 发表于 2016-1-29 22:17
如果测试都这样，那和管理员运行没关系，估计就是360在你系统环境问题了

再看吧，我睡去了，你可以把数字的日志贴上来吗，拦截文档修改的

xflcx1991

费尔，扫描miss，云鉴定miss，然而动态防御还是弹了

windows7爱好者

vm001 发表于 2016-1-29 22:17
如果测试都这样，那和管理员运行没关系，估计就是360在你系统环境问题了

什么时候数字能在win10 X64 上拦截注入系统程序，我才觉得是完美，已经被注入了的东西，我自己都觉得我的svchost.exe不干净了

windows7爱好者

我刚才重启再次试试，打开一个目录，发现被加密，但是这次数字弹出了文档保护，我选择阻止程序所有操作
注意看这个，我到此目录下面
注意看，数字只保护了这张图片，其他被样本有选择的加密
无论国内国外，数字总是只能保护单个图片（文档至今没有任何保护 成功的例子），动作为重命名，这也是我希望你发上数字日志的原因

windows7爱好者

@vm001 @墨家小子

墨家小子

windows7爱好者 发表于 2016-1-29 22:37
@vm001 @墨家小子

等下一个样本，你解压之后再双击试试

vm001

windows7爱好者 发表于 2016-1-29 22:37
@vm001 @墨家小子

这样啊，我打个比喻..
比如你一个文件夹下放了一个名为111.jpg的图片，病毒注入系统进程以后，就会对这个修改，要修改首先是读取，那360其实就是拦截读取这一步，会提示你有程序在修改文档，然后病毒会在同目录下创建一个后缀为dp6q（比如）的随机命名文档，创建成功以后，会删除原本的111.jpg图片，然后将这个随机命名的后缀为dp6q的文件重命名为111.jpg.dp6q。

正常情况下病毒读取这一步拦截下来以后，360会自动阻止后续对文档的动作（不一定有日志），至于你这里的拦截，等你有时间安装下md监控一下样本的全部行为，然后看360哪里没有拦截到吧

windows7爱好者

vm001 发表于 2016-1-30 09:27
这样啊，我打个比喻..
比如你一个文件夹下放了一个名为111.jpg的图片，病毒注入系统进程以后，就会对这 ...

MD的地址发一下可以吗

墨家小子

windows7爱好者 发表于 2016-1-29 22:29
什么时候数字能在win10 X64 上拦截注入系统程序，我才觉得是完美，已经被注入了的东西，我自己都觉得我的 ...

对头，我也是这么想的，现在流行的注入攻击大法，看ESET的HIPS拦截注入就很爽，无论X32、X64下都能出色拦截注入