ESET hips语法初试与规则强化（Update: 2016.08.24 官方反勒索规则）

显示全部楼层 · 发表于 2016-8-20 22:29:03

操作是全选吗？

显示全部楼层 · 发表于 2016-8-20 23:05:03

断簪发表于 2016-8-20 22:29
操作是全选吗？

FD删除+写入，RD删除+重命名+修改，AD启动/修改状态

显示全部楼层 · 发表于 2016-8-21 12:57:36

太复杂…智商不够玩

显示全部楼层 · 发表于 2016-8-21 16:42:23

调试进程是干啥

显示全部楼层 · 发表于 2016-8-21 17:44:57

导演AZ 发表于 2016-8-21 16:42
调试进程是干啥

将调试程序附加到进程。调试应用程序时，可以查看和修改其行为的许多详细信息，访问其数据。

显示全部楼层 · 发表于 2016-8-21 19:40:42

看到这个贴想到了楼主的hitmanproalert 楼主能分享下吗

显示全部楼层 · 发表于 2016-8-22 20:06:20

qftest 发表于 2016-8-20 23:05
FD删除+写入，RD删除+重命名+修改，AD启动/修改状态

谢谢

显示全部楼层 · 发表于 2016-8-23 09:14:16

qftest 发表于 2016-8-21 17:44
将调试程序附加到进程。调试应用程序时，可以查看和修改其行为的许多详细信息，访问其数据。

如果恶意软件对某个进程进行调试，岂不是很危险

显示全部楼层 · 发表于 2016-8-23 10:39:00

renyifei 发表于 2016-8-23 09:14
如果恶意软件对某个进程进行调试，岂不是很危险

这个操作确实很敏感，我猜测样本调试的目的恐怕是设置断点将目标程序“挂起”，但调试很少见（直至目前我只见过几次），绝大多数都是注入代码（修改状态）借壳执行

显示全部楼层 · 发表于 2016-8-23 10:49:54

qftest 发表于 2016-8-23 10:39
这个操作确实很敏感，我猜测样本调试的目的恐怕是设置断点将目标程序“挂起”，但调试很少见（直至目前我 ...

有什么可以防御的规则吗

[原创] ESET hips语法初试与规则强化 （Update: 2016.08.24 官方反勒索规则）