毛豆已更新。。。

显示全部楼层 · 发表于 2016-9-25 18:08:47

HEMM 发表于 2016-9-25 17:58
不是，我这边WD卡UAC........
你也看到了，只有.exe被入进去了。
再怎么测也是一个结果啊，我的和你 ...

不是，这个exe没有自动入沙，我还没搞好沙盒的规则。这个远控的运行过程不是很清楚，但是在我这里是实实在在的连上了网的，就如图里面。

显示全部楼层 · 发表于 2016-9-25 18:22:38

本帖最后由 HEMM 于 2016-9-25 18:48 编辑

68221281 发表于 2016-9-25 18:08
不是，这个exe没有自动入沙，我还没搞好沙盒的规则。这个远控的运行过程不是很清楚，但是在我这里是实实 ...

瞎眼，我还以为那个是沙盒的截图= =，是防火墙的，不好意思，有点烧，昏昏的，看花了。
你切换到这个组别的规则内有没有该程序的规则？
沙盘不用管，这个规则是未知自动入的，BUG豆漏了这算是。
我晕，我又要重启了.......
你的BUG+内有该程序的规则，或者BUG豆因为是白文件自动信任了。
头疼，不弄了，胡话漫天飞。
找个专家来，我是很随性的BUG豆玩家，规则经常在变。
@柯林
我该吃药了。。。。
截图都能看花，也是没谁了.....
帮你@了研究BUG豆深刻的专家。
别怪我胡说八道啊，我上来没想做什么，头晕，只是想看看前几天的短消息有没有人回复，然后给予回复。
这几天都不舒服，规则删光了，完全靠着WD和BUG豆的沙盘改的规则过中秋....
而且以我的功力，就算是清醒状态，那个随性的规则估计比默认规则更不堪，1秒就被攻破了。

显示全部楼层 · 发表于 2016-9-25 18:52:07

本帖最后由柯林于 2016-9-25 18:56 编辑

白+黑的话，目前有效检测手段，是特征码扫描，直接HIPS阻止dll加载，从早期EQ后就再没出现过，没一家愿意这么干——效率低、卡死系统，得不偿失！

联网样本，管住防火墙，有一定作用。如果做规则，估计沙盘规则效率高点：新建一个文件组——本机可信程序，把系统的，自己安装的，逐一加入，或者分为两组，一组系统自带程序，一组用户安装可信程序；然后，沙盘里写规则：可信程序组，忽略；最后写一条：来源于本地磁盘上的所有文件夹下的所有程序*，一律入沙执行，可能就不会漏沙了。玩HIPS手动挡疯狂模式的，估计也不会有问题。

可以建议官方加强dll安全性检测，或者把黑dll上报官方——以官方的乌龟速度，估计作用不大

ps：简单强化防御效果，毛豆可以学学数字，添加一个——下载文件安全性检查，不可信的文件直接阻止下载，要不然，弄个云有屁用

显示全部楼层 · 发表于 2016-9-25 19:12:45

本帖最后由 68221281 于 2016-9-25 19:29 编辑

HEMM 发表于 2016-9-25 18:22
瞎眼，我还以为那个是沙盒的截图= =，是防火墙的，不好意思，有点烧，昏昏的，看花了。
你切换到这个 ...

刚才去吃饭了。抱歉了，不知道你生病了啊。别这么说嘛，我的所有问题里，版主大大的回复一直都很认真的

刚才看了一下疯狂模式hips的弹窗，能拦截，但那叫一个复杂啊。几十个弹窗。
这个程序BUG+没有任何规则，也不是自动信任，我看了疯狂模式下的弹窗，是用conhost.exe调用cmd.exe开始的。后面天花乱坠的各种调用，最后才运行了那个YYexplore.exe的。

这应该算直接绕过了，comodo的默认监控了吧。我现在也被搞得有点晕了，你要注意身体啊。。。

显示全部楼层 · 发表于 2016-9-25 19:17:44

本帖最后由 68221281 于 2016-9-25 19:22 编辑

柯林发表于 2016-9-25 18:52
白+黑的话，目前有效检测手段，是特征码扫描，直接HIPS阻止dll加载，从早期EQ后就再没出现过，没一家愿意这 ...

谢谢回复，看来我得去好好研究沙盒规则了。以前很看不起360的小白鼠云，现在觉得这在天朝的确还是很有存在的必要的。编这个程序的人，不知道他是研究过comodo，还是真的技术很好。我现在对comodo的选择真的有点犹豫了

显示全部楼层 · 发表于 2016-9-25 20:14:20

我用著CCAV也沒有虛擬機所以..

最近看著CCAV把我樣本上報Vlakyrie分析看著未知一天一天減少特好玩
按理說dll會入的才對.. 沙盒是會入dll的
HIPS也沒反應嗎? 看看檔案評價那裡是不是被信任了?~
對了64位下HIPS那個選項要記得勾上哦~

显示全部楼层 · 发表于 2016-9-25 20:20:12

柯林发表于 2016-9-25 18:52
白+黑的话，目前有效检测手段，是特征码扫描，直接HIPS阻止dll加载，从早期EQ后就再没出现过，没一家愿意这 ...

一样会漏，我记得默认规则的加强模式我瞄过一眼，虽然删掉了，但是里面就有所有恶意的全部隔离，所有未知的应用程序全部入沙。
比如腾讯游戏，腾讯游戏有签名的，但是BUG豆任性入沙了各种.exe，但是它的DLL什么的都不入沙的。
沙盘为了性能一定是做了某种妥协，并不是所有的未知文件不管是啥都入，而是有选择性的入，估计和我先前说胡话说的，管住执行的文件就算是管住了一样。
单独使用这个沙盘恐怕够呛，还是得开BUG+，还是得弄防火墙规则，不是安装后直接用就安逸的了，对付大多数常规威胁也许沙盘是没问题，这种呢？
估计官方不会鸟你的，要不为什么不检测这项，估计还是为了性能做了些妥协。
快别说数字了，那么无敌怎么样，不可信的压缩包，可执行文件没入库的都是阻止的.....

显示全部楼层 · 发表于 2016-9-25 20:23:33

諾言敵不過時間发表于 2016-9-25 20:14
我用著CCAV也沒有虛擬機所以..
最近看著CCAV把我樣本上報Vlakyrie分析看著未知一天一天減少特好玩
...

你的DLL入过？

显示全部楼层 · 发表于 2016-9-25 20:28:48

本帖最后由諾言敵不過時間于 2016-9-29 16:52 编辑

HEMM 发表于 2016-9-25 20:23
你的DLL入过？

嗯對，入過的~ 這個算吧..?

显示全部楼层 · 发表于 2016-9-25 20:33:53

本帖最后由 HEMM 于 2016-9-25 20:41 编辑

68221281 发表于 2016-9-25 19:12
刚才去吃饭了。抱歉了，不知道你生病了啊。别这么说嘛，我的所有问题里，版主大大的回复一直都很 ...

规则我都删除了，要问的太多.....我不喜欢发问型......手酸。
那你这个没绕过啊，只要在询问的时候阻止了....
绕过你还能看见这些......
你之前是什么模式，BUG+里没有对应的程序规则，只是因为最后还是因为沙盒信任了带数签的.exe?不然的话不就入沙了吗？怎么会畅通无阻？并且连防火墙都信任放行了.......你不是说没该程序的规则吗？
嗯......利用系统程序= =.......好吧，布吉岛算不算绕过，也懵圈了。
最后是系统里的XXX程序要运行这个？

[分享] 毛豆已更新。。。

本帖子中包含更多资源