今天终于见到神网真容了，附带神网产物~

kxmp

喂! 你用的啥ip?! 快告诉我

墨家小子

lixihong10 发表于 2016-4-17 11:11
ESET HIPS的修改其他应用状态范围很广的，有时候不是注入而是单纯的启动也会提示这个。

你可以测试下 ...

没有见过，你说的A启动B，eset hips有ad控制，一般都是这样的提示

墨家小子

kxmp 发表于 2016-4-17 14:27
喂! 你用的啥ip?! 快告诉我

楼主都已经放弃回答我关于毛豆是否拦截注入的提问了，估计心理遭受重创，你就别问了，做人要厚道

qftest

lixihong10 发表于 2016-4-17 11:11
ESET HIPS的修改其他应用状态范围很广的，有时候不是注入而是单纯的启动也会提示这个。

你可以测试下 ...

偶尔遇见
类似报法模糊的还有comodo，因为comodo说父进程成功执行子程序后就可以控制子程序的执行，因此comodo报create process的很多时侯其实也是注入，与eset这个报法一样需要VIPRE/x32 SSF旁证一下，如果VIPRE很明确的报code injection那就对了，SSF此时一般不报53执行而会报29 modify memory for process；comodo报access memory的时侯SSF多数报36 inject remote dll to process，大数字此时则报远程线程注入
@墨家小子

墨家小子

qftest 发表于 2016-4-17 15:01
偶尔遇见
类似报法模糊的还有comodo，因为comodo说父进程成功执行子程序后就可以控制子程序的执行，因 ...

看我今天早上抓的，那个木马启动诺顿程序，SSF拦截到了，放行之后那个诺顿的程序就被附体了，鬼上身了，各种异常行为，我是根据这个判断是不是注入的
楼主并没有正面回答我毛豆是否拦截到IE启动或者注入conhost，所以有些毛豆区的大神现在已经改口说要用疯狂模式了

墨家小子

qftest 发表于 2016-4-17 15:01
偶尔遇见
类似报法模糊的还有comodo，因为comodo说父进程成功执行子程序后就可以控制子程序的执行，因 ...

这里回复Q哥
问题是咱们讨论的是毛豆能不能拦截到注入（按照你的说法，拦截启动子程序也行）吧？拦截到了应该不会出现那么多异常系统程序，是吧？

深山红叶__

qftest 发表于 2016-4-17 15:01
偶尔遇见
类似报法模糊的还有comodo，因为comodo说父进程成功执行子程序后就可以控制子程序的执行，因 ...

comodo的那个提示纯粹是为了摆脱“进程没被拦截注入与我有关”，实际上就是简单地拦截到createprocess的动作，完全没有检测是否有注入行为，就像md拦截进程启动一样，只是comodo在拦截启动时加上一些“免责声明”（？）。参考之前大师的bypass样本，我觉得这个东西和它很像，大概也是在调用createprocess的过程中hook几个中间函数，然后达成注入的效果。

qftest

墨家小子 发表于 2016-4-17 15:07
看我今天早上抓的，那个木马启动诺顿程序，SSF拦截到了，放行之后那个诺顿的程序就被附体了，鬼上身了， ...

那现在有人去做实验了吗？实验结果在哪？
可别跟我说是理论家说的，目前只停留在想象中

深山红叶__

qftest 发表于 2016-4-17 15:01
偶尔遇见
类似报法模糊的还有comodo，因为comodo说父进程成功执行子程序后就可以控制子程序的执行，因 ...

然后以下是我不太靠谱的猜测:
eset的hips拦截到注入行为大概是有检测进程对自身的hook动作，而其它反病毒软件没有检测？检测应用层inline hook也许是把程序和内存中相应的api机器码进行对比。

qftest

深山红叶__ 发表于 2016-4-17 15:17
comodo的那个提示纯粹是为了摆脱“进程没被拦截注入与我有关”，实际上就是简单地拦截到createprocess的 ...

确实有一些“免责声明”，我记得好象大概意思是“警告，父进程是未知的，子程序是安全的程序，父一旦执行子则可以完全控制子”