收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 HitmanPro.Alert真心不错,Malwarebytes Anti-Exploit也 ...
12345下一页
返回列表 发新帖
楼主: 墨家小子
 收起左侧

[讨论] HitmanPro.Alert真心不错,Malwarebytes Anti-Exploit也不是弱鸡!!(更新)

[复制链接]
windows7爱好者
发表于 2016-11-9 11:48:08 | 显示全部楼层
导演AZ 发表于 2016-11-5 15:53
不管啥码 都是要从网页上下载可执行文件 exe dll之类的  只要阻止其下载 就OK啦 用hips做就很简单啦

先是IE下载攻击代码
然后执行攻击
这个攻击可以是简单地从IE下载并启动新程序,也可以是吧啦吧啦一顿乱注入,,然后用别的系统程序启动病毒
你HIPS要怎么防?
回复

举报

导演AZ
发表于 2016-11-9 12:21:34 | 显示全部楼层
本帖最后由 导演AZ 于 2016-11-9 12:30 编辑
windows7爱好者 发表于 2016-11-9 11:48
先是IE下载攻击代码
然后执行攻击
这个攻击可以是简单地从IE下载并启动新程序,也可以是吧啦吧啦一顿乱 ...


全局禁止修改exe dll 有些系统exe排除\device\*.exe or \device\*.dll(这里的exe和dll可不是磁盘上的exe dll哦 ) 更新啥软件 什么其他都都别想
当然还有一点小问题 我还在研究中 (有时会提示修改exe dll 情况极少 但还是被我看到了  我觉得并不是在磁盘文件上修改 应该在内存之类的 这个我要请教大神了  修改属性?状态?)

还有你说的注入  hips有防访问内存的功能 钩子之类的也要注意  注册表有些相关的也要注意  毕竟系统进程加载啥dll是要读注册表才知道的

也就是说以我目前浅薄的了解 可以防一些未知漏洞
如有错误 请原谅我是个大SB     请指出  我虚心接受  好学 肯学
回复

举报

墨家小子
 楼主| 发表于 2016-11-9 12:47:13 | 显示全部楼层
windows7爱好者 发表于 2016-11-9 11:48
先是IE下载攻击代码
然后执行攻击
这个攻击可以是简单地从IE下载并启动新程序,也可以是吧啦吧啦一顿乱 ...

你给我一个HIPS的AD防御不了挂马网页试试看
打开网页,只要IE执行系统程序或者陌生程序启动,AD一律拦截就OK了
回复

举报

墨家小子
 楼主| 发表于 2016-11-9 12:50:25 | 显示全部楼层
导演AZ 发表于 2016-11-9 12:21
全局禁止修改exe dll 有些系统exe排除\device\*.exe or \device\*.dll(这里的exe和dll可 ...

你用企业版咖啡吗?规则编制好了,我可以提供挂马网页测试规则
回复

举报

导演AZ
发表于 2016-11-9 12:53:21 | 显示全部楼层
墨家小子 发表于 2016-11-9 12:50
你用企业版咖啡吗?规则编制好了,我可以提供挂马网页测试规则


comodo  我是真小白  不敢测毒

之前虚拟机跑过 vse 貌似没有内存访问的保护选项
回复

举报

墨家小子
 楼主| 发表于 2016-11-9 13:02:39 | 显示全部楼层
导演AZ 发表于 2016-11-9 12:53
comodo  我是真小白  不敢测毒

之前虚拟机跑过 vse 貌似没有内存访问的保护选项

comodo的AD挺弱的,见这个帖子:http://bbs.kafan.cn/thread-2034559-1-1.html
毛豆全开,并打开增强模式,沙盘开,hips开,别的统统开,开,开……进神网,一会毛豆沙盘把TMP7589.exe拉入沙盘,虚拟化运行,哈哈,你以为这就结束了吗?在此之前,神网已经通过IE完成了对系统程序的注入,IE已经在C:\ProgramData创建随机文件夹并生成木马dll。这一阶段,毛豆对此毫无反应。管理器看到被注入的系统程序纷纷启动,但由于毛豆对cmd进行了虚拟化,被注入的系统程序纷纷报错退出。为了检验防御是不是生效,注销!

SSF还能依靠AD打天下,见这个帖子:http://bbs.kafan.cn/thread-2033782-1-1.html
线路一,虚线,先注入系统程序,IE启动conhost,然后conhost启动taskhost、explorer,因为SSF拦截不到注入,所以没有注入截图
回复

举报

peak816
发表于 2016-11-9 13:11:50 | 显示全部楼层
Malwarebytes Anti-Exploit搭配红伞P版行不行?
回复

举报

墨家小子
 楼主| 发表于 2016-11-9 13:28:54 | 显示全部楼层
peak816 发表于 2016-11-9 13:11
Malwarebytes Anti-Exploit搭配红伞P版行不行?

你可以上官网看看是不是有冲突什么的
回复

举报

导演AZ
发表于 2016-11-9 15:52:30 | 显示全部楼层
本帖最后由 导演AZ 于 2016-11-9 16:07 编辑
墨家小子 发表于 2016-11-9 13:02
comodo的AD挺弱的,见这个帖子:http://bbs.kafan.cn/thread-2034559-1-1.html

SSF还能依靠AD打天下, ...


之前看过这个帖子 也看到过另个帖子说啥是注册表防护的问题 嘛 也不太记得了
毛豆的内存访问机制是不甘于父进程对子进程的内存访问的 (之后也用过eset  eset就会弹窗父访问子的内存) 毛豆的另一个弹窗也说过父进程可操控子进程
这还牵扯到句柄(指针?这一块要请教下大神诸君)
如果编了对IE的AD管制还好 如果没有  就启用疯狂模式 让弹窗告诉你IE干了啥吧
所以只要拦截ie启动其它进程就行了  没有什么毒不是安全模式解决不掉的  如果有 就来个疯狂模式  我就不信这还拦截不到

即使不谈上面的AD
就我楼上说的那套FD  基本也都够防御各种魑魅魍魉了
回复

举报

windows7爱好者
发表于 2016-11-9 16:43:26 | 显示全部楼层
墨家小子 发表于 2016-11-9 12:47
你给我一个HIPS的AD防御不了挂马网页试试看
打开网页,只要IE执行系统程序或者陌生程序启动,AD一 ...

你干脆让IE什么也干不了,就安全了
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 07:03 , Processed in 0.088592 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表