四入四出神网，解开神网的“注入”谜题！

qftest

墨家小子 发表于 2016-4-19 19:16
我的explorer没有26这个行为类型出现，所以SSF对于有26行为的explorer应该能捕捉到

51#行为出现过吗？抱歉，墨神你的截图太多也许我有看漏
26是关键行为，没有这个就没有后续情节发展了，或许此神网与彼神网攻击方式并非完全一样？

墨家小子

还有必须说一点，我测试以来，一直都在想解开为什么autoruns看不到木马启动，我并没有说过木马启动是因为注入的关系，我只是说我测试时看到了很多注入，用eset hips证实，用VIPRE证实。如果拦截了前几步的注入，就不会出现后续行为。楼主你说的“这么久的争辩注入，结果确是 外壳程序扩展”是不是包括刚开始IE注入那几步？不是的话，你能不能认真看看我之前的测试对于注入的叙述？

深山红叶__

墨家小子 发表于 2016-4-19 19:22
我认为是ie注入conhost，基于测试中看到ESET HIPS和VIPRE分别证实了（以及后续的注入）。楼主证实的是exp ...

ie有修改conhost内存，“以及后续的注入”是什么？

墨家小子

qftest 发表于 2016-4-19 19:26
51#行为出现过吗？抱歉，墨神你的截图太多也许我有看漏
26是关键行为，没有这个就没有后续情节发 ...

神网测试中，SSF对于explorer的拦截似乎没有，你看过我的测试视频，ie 启动 conhost，conhost启动taskhost和explorer，这些SSF都可以拦截到，之后explorer就消失了，然后各种系统程序纷纷出现，explorer有个在C:\ProgramData创建文件夹的行为被SSF抓到，就没有什么了。注销之后explorer在那个文件夹内创建木马dll，就是这样

墨家小子

深山红叶__ 发表于 2016-4-19 19:38
ie有修改conhost内存，“以及后续的注入”是什么？

好累人啊，你翻翻我之前神网的测试帖子，截图无数次的出现了

http://bbs.kafan.cn/thread-2033829-1-1.html
http://bbs.kafan.cn/thread-2034095-1-1.html

lixihong10

墨家小子 发表于 2016-4-19 19:15
问题是这个“explorer”为什么会出现不寻常的行为？源头在哪？explorer这个老好人不会平白无故被利用吧？ ...

我视频里面是阻止的，


这个就是 explorer 加载的，由于我上次测试移除了注册表保护项，所以 注册这个dll的时候没有提示。
至于谁注册这个DLL的  就是 conhost。

至于 conhost为什么没有被注入就会执行内容？

因为他本来就是 命令行程序的宿主程序。

conhost.exe
全称是Console Host Process, 即命令行程序的宿主进程。简单的说他是微软出于安全考虑，在windows 7和Windows server 2008中引进的新的控制台应用程序处理机制。

qftest

墨家小子 发表于 2016-4-19 19:50
神网测试中，SSF对于explorer的拦截似乎没有，你看过我的测试视频，ie 启动 conhost，conhost启动taskhos ...

是的，但我不得不说x64下用SSF观察行为并不是个好主意
我认为LZ的测试与录像恰恰证明了是Code Injection，VIPRE的拦截报法完全正确，楼上的MD日志也佐证了这一点
眼下我最想看到的是51#进程间通信，那将能解释许多东西，楼下哪位大神去试试呗

墨家小子

lixihong10 发表于 2016-4-19 20:00
我视频里面是阻止的，

不用说这么多名词，我真不是专业，我只想知道你是不是认为从头到尾都不是注入是不是？

墨家小子

qftest 发表于 2016-4-19 20:03
是的，但我不得不说x64下用SSF观察行为并不是个好主意
我认为LZ的测试与录像恰恰证明了是Code Inj ...

但楼主似乎并不认为是注入啊？视频中凡是出现注入修改的地方他都是选择拒绝的，拒绝之后conhost还会有很奇怪的行为，而且奇怪的是，选择拒绝注入之后explorer还会出现怪异行为，我就懵逼了。我是选择放行，证实注入，因为SSF拦截不到所以被注入，楼主是选择拒绝证实不是注入。

lixihong10

墨家小子 发表于 2016-4-19 20:03
不用说这么多名词，我真不是专业，我只想知道你是不是认为从头到尾都不是注入是不是？

autoruns 看不到，更新到官网的也看不到

ie会下一个DLL 和 exe
exe这个是勒索病毒，内存杀了

DLL没有注入，就是通过 扩展方式启动的。