实机KES10简单双击测试.SW/APC.勒索病毒

显示全部楼层 · 发表于 2016-1-31 20:33:55

pal家族发表于 2016-1-31 19:57
额，如果加密前必须注入，不注入就没法加密的话，拦截到注入不就可以组织加密了吗？最后一个加密什么情况 ...

SW/APC表现还是很不错的
拦截了注入仍然被加密可能是规则没弄好，比如注册表那块保持了默认允许，还有系统关键部分等也没有阻止修改——主楼模拟的是极端情况，因自动归类不信任组无法手动调整，只好暂时将不信任组设置成低限状态来观察拦截情况——（不过这样测试也对调整默认低限组权限有启发作用，KES大多数时侯都是自动归类低限，APC漏掉的可能性挺大）
数签的那个样本原来是可以加密的，也是通过注入系统进程，可能是服务器端现在不在线无法接收密钥进行加密操作

显示全部楼层 · 发表于 2016-1-31 20:35:39

墨家小子发表于 2016-1-31 20:26
你知不知道你有点烦人了？

我的确不烦人

显示全部楼层 · 发表于 2016-1-31 21:16:23

LZ测试一下BD吧

显示全部楼层 · 发表于 2016-2-1 08:26:13

应该来说，BD要比卡巴KIS好一些，期待楼主再亲自做个BD的测试，
看看BD的效果如何。

显示全部楼层 · 发表于 2016-2-1 12:59:33

默认设置行吗

显示全部楼层 · 发表于 2016-2-1 14:01:04

墨家小子发表于 2016-1-31 20:24
真麻烦啊，我大ESET不需要云拉黑不需要特征码不要主防，全天候全环境拦截注入，木马全都懵逼
还不如 ...

如果在设置中指定归类低限组，就不能观察KES的启发式分析自动归类效果了（包括父/子进程）

显示全部楼层 · 发表于 2016-2-1 14:42:08

墨家小子发表于 2016-1-31 20:24
真麻烦啊，我大ESET不需要云拉黑不需要特征码不要主防，全天候全环境拦截注入，木马全都懵逼
还不如 ...

没意义的，这玩意只要入库了卡巴斯基就能联动病毒库拦截

显示全部楼层 · 发表于 2016-2-1 15:52:08

QQ1014530747 发表于 2016-2-1 14:42
没意义的，这玩意只要入库了卡巴斯基就能联动病毒库拦截

说得好，只要入库，没入库的就不管了，大不了恢复备份、重装系统、实在不行还可以换台新电脑嘛

显示全部楼层 · 发表于 2016-2-1 20:13:32

折腾不止啊0.0
现在各种手段，特征行为云联动病毒也真不容易。

显示全部楼层 · 发表于 2016-2-1 20:16:30

本帖最后由 QQ1014530747 于 2016-2-1 20:17 编辑

qftest 发表于 2016-2-1 15:52
说得好，只要入库，没入库的就不管了，大不了恢复备份、重装系统、实在不行还可以换台新电脑嘛

哎那个pdm你看到了吗，那个只要入库了他就能联动病毒库拦截根本没屁用的，这根本不能体现什么来着

[交流探讨] 实机KES10简单双击测试.SW/APC.勒索病毒

评分