File name: brdgcfg.dll Detection ratio: 3 / 56 神网继续出货不限量供应

显示全部楼层 · 发表于 2016-3-24 23:13:11

墨家小子发表于 2016-3-24 23:07
老大，我都抓了三次了从五点左右开始，次次有货

看来我的ip被ban了

显示全部楼层 · 发表于 2016-3-24 23:13:12

saga3721 发表于 2016-3-24 23:02
没有装红伞的虚拟机，不过不是只要杀了可执行程序dll也就没法运行是吗？

不是。。。。。木马dll直接把自己注入到explorer.exe中，然后操纵explorer伪装成用户操作试图骗过杀软，并不依靠那个.exe。

显示全部楼层 · 发表于 2016-3-24 23:13:45

windows7爱好者发表于 2016-3-24 23:02
目前好像只有ESS的HIPS可以防御
我觉得MD也行
手动HIPS我觉得都能拦截这一步注入

然而SSF就不行。。。。。。。。

显示全部楼层 · 发表于 2016-3-24 23:14:34

ccboxes 发表于 2016-3-24 23:13
不是。。。。。木马dll直接把自己注入到explorer.exe中，然后操纵explorer伪装成用户操作试图骗过杀软， ...

我火狐

显示全部楼层 · 发表于 2016-3-24 23:15:12

rrorr 发表于 2016-3-24 23:13
看来我的ip被ban了

怎么可能，我用的IP一个都没有，明天再试吧，建议别测红伞，没有意义
GD可以考虑，看看主防能不能拦截到dll运行

显示全部楼层 · 发表于 2016-3-24 23:15:38

墨家小子发表于 2016-3-24 23:11
你要说能拦截IE启动conhost我承认，你要说大部分HIPS能拦截到IE修改conhost内存，我就不相信了，起码SSF ...

测试为准
MD有一项专门防御修改其他进程内存的规则，详见http://bbs.kafan.cn/thread-1864017-1-1.html
可惜手动HIPS我简直不要不要的

用了30分钟，弹出128次 .......

显示全部楼层 · 发表于 2016-3-24 23:17:33

ccboxes 发表于 2016-3-24 23:13
不是。。。。。木马dll直接把自己注入到explorer.exe中，然后操纵explorer伪装成用户操作试图骗过杀软， ...

完整的过程是这样的：九楼是第一步，然后继续一楼的，http://bbs.kafan.cn/thread-2034448-1-1.html

显示全部楼层 · 发表于 2016-3-24 23:18:13

ccboxes 发表于 2016-3-24 23:13
然而SSF就不行。。。。。。。。

SSF不算纯手动HIPS
智能化还是蛮高的......

显示全部楼层 · 发表于 2016-3-24 23:19:05

windows7爱好者发表于 2016-3-24 23:18
SSF不算纯手动HIPS
智能化还是蛮高的......

然而不是智能不智能的问题，是压根就监控不到。

显示全部楼层 · 发表于 2016-3-24 23:20:27

ccboxes 发表于 2016-3-24 23:19
然而不是智能不智能的问题，是压根就监控不到。

SSF官方还不承认

[可疑文件] File name: brdgcfg.dll Detection ratio: 3 / 56 神网继续出货不限量供应