别跟我说什么主防什么HIPS ，防护系统程序不受侵入才是王道，VoodooShield你过来！

rrorr

墨家小子 发表于 2016-3-23 10:13
样本区那帮粉丝还以为杀掉神网附带的加密勒索木马就万事大吉了呢，根本看不到explorer被注入并不是加密勒 ...

你还想测啥？我虚拟机里还装了别的可以试试

rrorr

墨家小子 发表于 2016-3-23 10:18
说多了都是眼泪，昨天安装卡巴，更新了一个多小时，然后重启，再就打不开IE了，跟趋势一样一样的， ...

我的win8x64 614 445都打不开ie，内存占用到60k就消失了，关闭防护也不行退出卡巴才能打开

墨家小子

rrorr 发表于 2016-3-23 10:43
我的win8x64 614 445都打不开ie，内存占用到60k就消失了，关闭防护也不行退出卡巴才能打开

我win8.1x64
说句心里话，看到你也一样，我心里遭受的创伤平复了

墨家小子

rrorr 发表于 2016-3-23 10:41
你还想测啥？我虚拟机里还装了别的可以试试

McAfee Endpoint Security 10.1.0.649.61

http://bbs.kafan.cn/forum.php?mo ... 91&pid=37304340

据说漏洞利用防护很猛，想试试，不过我这里安装不了，卡在17%

墨家小子

cwl12315 发表于 2016-3-23 10:25
这网站进去后啥动静都没有，倒是那个darodivar的每次刷新ips都会报警，不过把入侵防护关了后，等了半天也没 ...

不会玩就别玩了，我都在这个神网抓了多少木马exe\dll了，还有就是并不是每一个挂马网页都必须保持24小时攻击状态的好不好，你重现不了不代表别人不行，咱虽说不是专业的，但玩得好

欧阳宣

主要是注入太常见啦，这个你都拦误报岂不爆炸

墨家小子

欧阳宣 发表于 2016-3-23 10:51
主要是注入太常见啦，这个你都拦误报岂不爆炸

不常见，你看我的那些截图没有，正常环境下，ESET hips根本看不到那些系统程序注入别的系统程序，这里说的注入就是那个神网启动系统进程，被启动的系统进程再启动explorer，紧接着ESET hips拦截了explorer对于自身的注入，这一连串的异常行为需要改进主防

墨家小子

jefffire 发表于 2016-3-23 10:29
防漏洞还是要靠打补丁

没错，我就是想模仿一下，毕竟漏洞在补丁之前，我本意是想提醒一下主防对于这一类的注入有所重视，虽然比较难以做到，但估计我大数字应该能拦截到注入，毕竟之前的二代注入数字拦截的妥妥的，很有说服力

欧阳宣

墨家小子 发表于 2016-3-23 10:54
不常见，你看我的那些截图没有，正常环境下，ESET hips根本看不到那些系统程序注入别的系统程序，这里说 ...

分布的至少还看得到，ATC sonar这种连过程都不知道了

或者可以通过回滚的过程看？

墨家小子

蓝核 发表于 2016-3-23 10:40
一开始你说注入的时候我以为各位已经看懂开始找这个行为的发动者了…… 继续情绪稳定 估计各大杀毒找不到 ...

AVG好像挺重视的，已经开始杀DLL了，估计不久IDP就会升级，别家希望粉丝们把这个神网发给厂家，让专业人士判断吧