四入四出神网，解开神网的“注入”谜题！

羽扇纶巾

楼主威武，点赞！

深山红叶__

lixihong10 发表于 2016-4-19 08:19
一个是自己加载，一个是在运行过程中被其他注入。
别说SSF了，连ESET都不提示。

启动时加载也是加载dll啊，而且shellexecutehook和shellcode无关，为什么是codeinj呢？

lixihong10

深山红叶__ 发表于 2016-4-19 17:15
启动时加载也是加载dll啊，而且shellexecutehook和shellcode无关，为什么是codeinj呢？

是在 SearchFolder 里面  不是 shellexecutehook

275751198

深山红叶__ 发表于 2016-4-19 17:15
启动时加载也是加载dll啊，而且shellexecutehook和shellcode无关，为什么是codeinj呢？

加油加油，早日破解掉他。目测将尽早结束样本区一网独大的局面。倒逼各位开阔样本源。

深山红叶__

lixihong10 发表于 2016-4-19 17:29
是在 SearchFolder 里面  不是 shellexecutehook

啊，对，那么不也是根据classid里记录的路径加载dll吗？

lixihong10

深山红叶__ 发表于 2016-4-19 17:36
啊，对，那么不也是根据classid里记录的路径加载dll吗？

恩 是根据 classid 加载。
不过HIPS好像没吧这个算在注入范围里面。

你用MD 测试看看， 有没有提示内存修改~

深山红叶__

lixihong10 发表于 2016-4-19 17:41
恩 是根据 classid 加载。
不过HIPS好像没吧这个算在注入范围里面。

以我看法，手动hips是不会提示“注入”的，只会说明行为，比说创建线程、修改内存之类的，而此类样本是通过修改与explorer进程启动有关的注册表项间接操控进程，而不是直接操作进程。所以，安全反病毒软件自然不会弹窗提示进程操控，而hips的rd正常是都能拦住。
这个程序因为没有修改进（线）程，所以任何hips不会有类似弹窗提示的。
然后手机无力，但是我还是认为这是dllinj，因为没有涉及shellcode操作。

墨家小子

lixihong10 发表于 2016-4-18 22:49
就相当于你右键 添加到压缩文件，这个就是外壳扩展，非注入。

等我上传视频~

你说是非注入，那怎么解释explorer这种怪异行为的出现？

墨家小子

深山红叶__ 发表于 2016-4-18 23:15
那墨家小子的ssf是什么情况，comodo开启rd后可以拦到了吗？
然后…插classid来shellexecutehook的不是在 ...

我的SSF对于explorer只有24、47、57这三项行为类型是记住放行的，为什么没有拦截到我也不清楚了

墨家小子

qftest 发表于 2016-4-18 23:24
严重怀疑comodo非自定规则可以拦截，无论安全模式或疯狂模式，看LZ录像也不过提示“A试图执行B“
我说为 ...

友谊的小船说翻就翻啊
X64下SSF对于29行为类型防御根本没有