收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 File name: 5F44.tmp Detection ratio: 5 / 55 Malware ...
12345下一页
返回列表 发新帖
楼主: 墨家小子
 收起左侧

[可疑文件] File name: 5F44.tmp Detection ratio: 5 / 55 Malwarebytes AE粗大事了(更新2)

  [复制链接]
墨家小子
 楼主| 发表于 2016-11-9 12:39:00 | 显示全部楼层
驭龙 发表于 2016-11-9 12:25
我玩笑话,没听出来,好吧,我错了

以我经历过这么多的挂马网页,现在我最倾向于AD防御,因为Anti-Exploit会漏(HMPA、Malwarebytes Anti-Exploit),主防会漏(动作少,隐蔽,包括BD的ATC),对于新鲜的木马特征码就别说了。这也就是说,禁运(咖啡党最爱)才是最为稳妥的(目前来看)。对于防御网页挂马,陌生的行为一律靠AD斩杀才是王道!
截至到目前,没有看到过能突破ESET hips基于策略模式和SpyShelter、OP、 Privatefirewall、comodo的AD防御
所以上面才说数字的主防并非最佳
回复

举报

驭龙
发表于 2016-11-9 12:52:01 | 显示全部楼层
墨家小子 发表于 2016-11-9 12:39
以我经历过这么多的挂马网页,现在我最倾向于AD防御,因为Anti-Exploit会漏(HMPA、Malwarebytes Anti-Ex ...

现在的堆栈防御类的Anti Exploit虽然效果好于传统特征码,但考虑到兼容性方面,所以真的不可能百分百拦截Exploit类挂马

禁运EXE的话,确实是防绝大部分的挂马,就是不知能不能对付DLL和脚本类,这个我不清楚了。

其实我觉得过一段时间的Windows Defender Application Guard应该对付挂马效果不错,就是不知实际效果如何了。

话说你又回归样本区了,其实还是你的样本比较好玩,哈哈
回复

举报

墨家小子
 楼主| 发表于 2016-11-9 12:54:58 | 显示全部楼层
驭龙 发表于 2016-11-9 12:52
现在的堆栈防御类的Anti Exploit虽然效果好于传统特征码,但考虑到兼容性方面,所以真的不可能百分百拦截 ...

Windows Defender Application Guard这个是什么,可以科普一下不?能单独用吗?话说现在挂马网页太少了

评分

参与人数 1人气 +1 收起 理由
驭龙 + 1 所以才喜欢你发的挂马样本,哈哈

查看全部评分

回复

举报

驭龙
发表于 2016-11-9 12:57:48 | 显示全部楼层
墨家小子 发表于 2016-11-9 12:54
Windows Defender Application Guard这个是什么,可以科普一下不?能单独用吗?话说现在挂马网页太少了

就是把Edge浏览器放在虚拟机中上网,Edge上网产生的一切文件和数据会在关闭Edge的时候清除,而且这些数据无法访问真正的系统和硬盘数据,所以我觉得对付挂马应该不错
http://bbs.kafan.cn/thread-2060050-1-1.html
回复

举报

墨家小子
 楼主| 发表于 2016-11-9 13:09:12 | 显示全部楼层
驭龙 发表于 2016-11-9 12:57
就是把Edge浏览器放在虚拟机中上网,Edge上网产生的一切文件和数据会在关闭Edge的时候清除,而且这些数据 ...

那你试试看啊?
回复

举报

驭龙
发表于 2016-11-9 13:12:24 | 显示全部楼层
墨家小子 发表于 2016-11-9 13:09
那你试试看啊?

现在没有发布,需要等明年初的新版本win 10

不过我估计我老爷机带不动,我还是去用NS吧
回复

举报

ysj963
发表于 2016-11-9 13:13:47 | 显示全部楼层
假如用ESET保护好禁止写入一键还原备份文件,重要文件夹写入询问,硬盘直接访问询问是否可以保证系统可以被回复,重要文件夹不被破坏?分区是不是也能保护不被破坏?
回复

举报

墨家小子
 楼主| 发表于 2016-11-9 13:13:54 | 显示全部楼层
驭龙 发表于 2016-11-9 13:12
现在没有发布,需要等明年初的新版本win 10

不过我估计我老爷机带不动,我还是去用NS吧

这样啊……
回复

举报

vm001
发表于 2016-11-9 13:20:16 | 显示全部楼层
本帖最后由 vm001 于 2016-11-9 13:21 编辑
驭龙 发表于 2016-11-9 12:52
现在的堆栈防御类的Anti Exploit虽然效果好于传统特征码,但考虑到兼容性方面,所以真的不可能百分百拦截 ...


禁用是不对的,这样会出误报,如果禁用实用的话,那么微软就可以直接禁用这个了。。
对于各家主防其实就是规则粒度问题,规则简单直接的可以通杀,但是误报必定会多。。规则粒度细腻,判断标准高这样误报少但是通用防御就不会强会被绕过。。
比如今天最新帖子那2个js勒索,最终的行为就是rundll32加载dll进行文件加密。。
这里用火绒自定义做测试,最通用的就是拦截explorer执行WScript.exe脚本甚至说拦截所用程序去调用WScript.exe,但是问题也会很多总不能不让所有的js或者说wsf去执行吧。。所以这个显然不是太实用的,属于一棒子敲死。然而细化一下规则禁止WScript.exe(还有另一个脚本程序)去执行rundll32,这样就避免了误报一些正常的js运行同样可以起到拦截效果,如果在细化,禁止WScript.exe去执行rundll32加载dll,这样还会比上面这个误报少(当然火绒做不到这么细化),但是如果js释放的程序不是以dll为后缀的呢,比如昨天的一个勒索是以随机命名的.44为后缀加载。。
所以主动防御的规则怎么做不是和恶意程序对抗来决定的,是安全软件的自身用户群所决定的,必要的时候就是安全性向体验妥协。。
回复

举报

驭龙
发表于 2016-11-9 13:24:06 | 显示全部楼层
vm001 发表于 2016-11-9 13:20
禁用是不对的,这样会出误报,如果禁用实用的话,那么微软就可以直接禁用这个了。。
对于各家主防其实就 ...

禁运只是防挂马很猛,我可从未推荐过这种方式,我反而是不喜欢呢
而且我也说对付DLL和脚本类,好像不太……
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 11:31 , Processed in 0.114741 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表