查看: 12497|回复: 27
收起左侧

[技术原创] 【基于信誉的半主防来临?】MES 10.2 beta 新功能概览(有图有真相)

[复制链接]
T.Yoshiyuki
发表于 2016-6-3 23:13:13 | 显示全部楼层 |阅读模式
本帖最后由 T.Yoshiyuki 于 2016-6-4 00:12 编辑

win7 enterprise安装MES10.2总是装不上去 特意装了win10 10586测试了一下

另外 我这里在中文模式下新功能的部分会迷之乱码 所以切换到了英文模式 请见谅

第一项:漏洞保护中貌似增加了一项(也可能是我看走眼)“通用特权提升保护”

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8魅力 +1 人气 +7 收起 理由
jxfaiu + 1 感谢提供分享
qpzmggg999 + 1
windows7爱好者 + 1 感谢提供分享
ziqianweiyang + 1 版区有你更精彩: )
小小龙 + 1 加分鼓励

查看全部评分

T.Yoshiyuki
 楼主| 发表于 2016-6-3 23:23:37 | 显示全部楼层
本帖最后由 T.Yoshiyuki 于 2016-6-3 23:47 编辑

第二项:全新功能——DAC,动态程序限制(暂译)
在“威胁防护”的设置项下追加了DAC的各项规则设置,默认全部开启
此处仅有规则和排除设置 推测与TI联动生效(后述)
规则众多 暂且一一截图并翻译


1.访问勒索程序经常访问的文件
2.访问不安全的密码LM哈希值(关于何为LM哈希,参见https://en.wikipedia.org/wiki/LM_hash
3.访问用户cookies路径
4.在另一进程中分配内存
5.在别的进程中创建线程


6.在任意网络位置创建文件
7.在可移动介质创建文件
8.创建.bat文件
9.创建.exe文件
10.创建.jpg .bmp或.html文件


11.创建.job文件
12.创建.vbs文件
13.创建新的CLSID APPID或TYPELIB
14.禁用关键的操作系统可执行文件
15.执行任何子进程


16.更改AppInit注册表项
17.更改程序兼容性库
18.更改关键windows文件以及注册表项
19.更改桌面背景设置
20.更改文件关联


21.更改.bat文件
22.更改.vbs文件
23.更改映像劫持相关注册表项
24.更改可移动执行文件
25.更改屏保设置


26.更改启动项注册表项
27.更改自动调试(automic debugger)
28.更改隐藏的属性bit(attribute bit,电脑英语不好,暂时不知什么意思)
29.更改只读的属性bit
30.更改服务注册表项


31.更改windows目录
32.更改windows防火墙策略
33.更改windows计划任务
34.更改用户策略
35.更改用户文件夹


36.读取其他进程内存
37.读取或更改网络文件
38.读取或更改可移动介质上的文件
39.暂停其他进程
40.中止其他进程


41.写入其他进程内存


包括的程序:被TI判定(后述)并被DAC加以限制的程序显示在这里,并可后期取消限制或排除
例外:如题,添加DAC的例外


没卵用的说明(部分)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 看着不错!

查看全部评分

T.Yoshiyuki
 楼主| 发表于 2016-6-3 23:33:46 | 显示全部楼层
第三项:web控制新增“对网页邮件添加注释”、“对网页邮件添加注释”(邮件客户端?)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
T.Yoshiyuki
 楼主| 发表于 2016-6-3 23:35:46 | 显示全部楼层
本帖最后由 T.Yoshiyuki 于 2016-6-4 00:11 编辑

第四项:新增设置大项——智能威胁防护(TI,非GTI!)与DAC联动


1. 开启TI
2.允许TI服务器收集匿名诊断及使用信息(即TI与单独的服务端——应该是ePO控制端?——联动)
3.无法连接到TI服务器时使用GTI文件信誉(即与GTI——经典的咖啡云——联动)

4.规则分配
即设置整体安全级别,分办公、平衡、严格三档,应该与DAC判定的灵敏度有关

5.处理执行
1)开启观察模式:只写入日志但不执行规则,测试时用的
2)设置信誉阈值(大家熟悉的GTI又来了~)
处理分为:触发DAC、封锁文件、清除文件
阈值分为:未知、疑似恶意文件、已知恶意文件(记得还有一挡但是忘了截图,不好意思)

3)设置在检测到威胁时通知用户(别告诉我会弹窗)



4)发送未知文件给Mcafee ATD(高级威胁防护,又一个新名词,怀疑就是GTI云)
可以设置发送文件的阈值(比如”未知“)以及大小限制


这样,我想聪明的小朋友们已经大抵推测出这个新功能是怎么玩的了:
基于文件信誉触发DAC(降权运行)或直接清除或封锁文件
可以看出,DAC自带比较完善的防御点,这对于访问保护来说是一个很好的互补,也大大减少了编写规则的麻烦,毕竟未知程序直接用DAC限制一下也是很省心的

(然而卡巴笑了


官方附送一个测试DAC的文件,让你感受一下新功能的威力
首先,这个文件运行后会进行一系列触发DAC防御点的操作:
1.在c:\windows目录下创建一个乱七八糟的东西
2.在启动项的注册表项(HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce)
3.在C盘新建一个.vbs文件(C:\DACTest\TestCreatBlock.vbs)
4.在注册表映像劫持的ie项下新建一个空键值(具体什么懒得抄了)
5.新建一个.job文件


然后就是测试步骤:
先在TI设置中将触发DAC的阈值调成“未知”,运行测试程序
然后你就可以在控!制!端!看到日志

最后,因为不强制执行规则,还得自己清理测试程序产生的垃圾

我在本地运行以后什么都没发生,日志都没产生,怀疑是云连接失败
大家有空玩一玩吧


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
T.Yoshiyuki
 楼主| 发表于 2016-6-3 23:36:23 | 显示全部楼层
本帖最后由 T.Yoshiyuki 于 2016-6-4 00:11 编辑

第五项:该连不上的还是连不上(纯属娱乐)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
T.Yoshiyuki
 楼主| 发表于 2016-6-4 00:13:49 | 显示全部楼层
暂时写到这里 希望对咖啡有信仰的小伙伴们能多多测试,摸索DAC的正确玩法
不说了,继续装回win7去~
蓝天二号
发表于 2016-6-4 21:21:02 来自手机 | 显示全部楼层
不知道新版个人版什么时候来临,,期待,,,
星云劫
发表于 2016-6-4 23:40:37 | 显示全部楼层
其实还是很期待咖啡的个人版可以出主防。
liangxy
头像被屏蔽
发表于 2016-6-5 10:05:46 | 显示全部楼层
不知道什么时候正式版?
驭龙
发表于 2016-6-5 10:16:09 | 显示全部楼层
不错不错,支持测评
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 12:16 , Processed in 0.136560 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表