Detection ratio: 2 / 54 Angler Exploit Kit Flash Exploit 6 加密勒索挂马

显示全部楼层 · 发表于 2016-2-20 16:17:47

墨家小子发表于 2016-2-20 16:16
也不清楚拦截的是那一步注入

上次根据SSF的结果，应该是explorer注入svchost，不知道现在有么有什么变化，只注入explorer的能不能拦截，到现在都是未解之谜

显示全部楼层 · 发表于 2016-2-20 16:23:53

1446547521 发表于 2016-2-20 09:58
现在声纳都是等样本跑完整个行为才拦截。。。还好只是沙盘啊。。

[mw_shl_code=css,true]文件名: ltsmkh ...

声呐对SBIE里的程序不是很准。
经常遇到同一个样本，在不在沙盘里跑结果不同。。。
不知道声呐怎么判断的

显示全部楼层 · 发表于 2016-2-20 16:26:22

墨家小子发表于 2016-2-20 16:15
为什么不在国内区秀一下呢

秀肯定是要有的，不过规则还需要完善

显示全部楼层 · 发表于 2016-2-20 16:39:20

本帖最后由 windows7爱好者于 2016-2-20 16:51 编辑

来来来，满足你
测试环境：win10 X64 SSP+蜘蛛
蜘蛛关掉监控，SSP将设置调为询问级别
双击

然后蜘蛛出面拦截注入
击杀
好像有改进啊

，直接拦截了注入，SSP没有表现机会了

如果彻底关闭蜘蛛，下一步就是注入conhost
@墨家小子

显示全部楼层 · 发表于 2016-2-20 17:07:03

费尔真是奇怪，默认设置，关闭云
首次双击，kill本体加衍生物
再次双击，本体运行一阵貌似自删除，只kill衍生物

显示全部楼层 · 发表于 2016-2-20 19:50:32

windows7爱好者发表于 2016-2-20 16:17
上次根据SSF的结果，应该是explorer注入svchost，不知道现在有么有什么变化，只注入explorer的能不能拦截 ...

你给我从一楼的截图里面找出有注入迹象的行为，除了有一个行为类型40的截图？

显示全部楼层 · 发表于 2016-2-20 19:52:29

1943337979 发表于 2016-2-20 16:26
秀肯定是要有的，不过规则还需要完善

多大了还再玩FD？你的HIPS区前辈早在几年前就把FD玩坏了也没见过像你这么爱炫的选手

显示全部楼层 · 发表于 2016-2-20 19:54:04

windows7爱好者发表于 2016-2-20 16:39
来来来，满足你
测试环境：win10 X64 SSP+蜘蛛
蜘蛛关掉监控，SSP将设置调为询问级别

你把SSP日志贴出来，关闭蜘蛛所有

显示全部楼层 · 发表于 2016-2-20 19:54:40

墨家小子发表于 2016-2-20 19:50
你给我从一楼的截图里面找出有注入迹象的行为，除了有一个行为类型40的截图？

嗯，稍等，好像确实没有

我眼花了，见谅见谅

显示全部楼层 · 发表于 2016-2-20 20:04:11

墨家小子发表于 2016-2-20 19:54
你把SSP日志贴出来，关闭蜘蛛所有

[可疑文件] Detection ratio: 2 / 54 Angler Exploit Kit Flash Exploit 6 加密勒索挂马