楼主: B100D1E55
收起左侧

[分享] ESET防勒索锁库测试

  [复制链接]
B100D1E55
 楼主| 发表于 2017-5-20 22:53:17 | 显示全部楼层
FUZE 发表于 2017-5-20 19:04
看来心态也崩了...可惜了,以后还会再写么?挺期待的...

估计要过一阵子。其实也是好事,之前写得比较粗糙,可以多看点资料后再写一遍
B100D1E55
 楼主| 发表于 2017-5-20 22:54:31 | 显示全部楼层
275751198 发表于 2017-5-20 22:51
eset的防勒索hips是否就是锁死特定文件夹

肯定不是这么简单,不然新勒索应该可以检测出来。我觉得是更具体(保守)的检测特征
B100D1E55
 楼主| 发表于 2017-5-20 22:55:33 | 显示全部楼层

话说你对ESET这么感兴趣,他们有给企业版提供加强版的HIPS规则:http://www.nod32.com.hr/Portals/ ... re-techbrief_en.pdf
说不定可以参考一下
B100D1E55
 楼主| 发表于 2017-5-20 23:01:06 | 显示全部楼层
ccboxes 发表于 2017-5-20 18:26
话说内存扫描应该也不是ESET的独有技术吧。相比其他安软的内存扫描,有什么独到之处呢?

话说回来,老旧AMS库能杀cerber丝毫不意外,他们的变种行为太接近了,例如从去年年底到今年5月所有的变种都有类似的网络访问之类的行为……如果AMS启发特征提得准应该能很精准地查杀。估计cerber产业化免杀都只做表层伪装,侧面说明有的安软技术太差以至于这种程度的变种都有经济价值
真小读者
发表于 2017-5-20 23:03:00 | 显示全部楼层

ESET Internet Security - Online Help
http://help.eset.com/eis/10/zh-CN/?idh_page_tools.htm

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
275751198
发表于 2017-5-20 23:03:14 | 显示全部楼层
B100D1E55 发表于 2017-5-20 22:54
肯定不是这么简单,不然新勒索应该可以检测出来。我觉得是更具体(保守)的检测特征

http://bbs.kafan.cn/thread-2069598-1-1.html
B100D1E55
 楼主| 发表于 2017-5-20 23:03:20 | 显示全部楼层
乐丿莫名其妙 发表于 2017-5-20 21:32
谢谢分享 话说ees6的防御能力如何?

不清楚,因为没有ees6的授权,所以没法测试
fireherman
发表于 2017-5-21 00:57:43 | 显示全部楼层
本帖最后由 fireherman 于 2017-5-21 00:59 编辑
B100D1E55 发表于 2017-5-20 22:54
肯定不是这么简单,不然新勒索应该可以检测出来。我觉得是更具体(保守)的检测特征



ESET10的勒索防护本质上依然是HIPS(官方内置HIPS规则,看那个弹窗和用户自定义规则的弹窗(样式)是一样的),问题是这部分官方内置HIPS还嵌入其他代码用于检测未知勒索的威胁。

所以……我觉得ESET骨子里依然以启发,本地,静态扫描为重任;病毒库必须要时刻更新,即需要联网达到最高(最好)的防护效果。

这个倒没什么问题,强大如BD的ATC,SEP的Sonar,他们同样需要云(联网);

而AMS部分则太独特,可以算是ESET的主防,他同样从属于HIPS,并内置其他代码进行检测;不过和“勒索防护”一样,也需要病毒引擎的支持。

无论是国外区那个《20款杀软主防测试》,还你的《一周前的ESET对战wannacry》……

都印证我这个伪论:ESET防护的体系核心就是TheatSense引擎

B100D1E55
 楼主| 发表于 2017-5-21 01:32:11 | 显示全部楼层
ccboxes 发表于 2017-5-20 18:26
话说内存扫描应该也不是ESET的独有技术吧。相比其他安软的内存扫描,有什么独到之处呢?

我仔细想了一下,memory scan大概还是有空子可以钻的,以下是我个人的猜测
1)AMS宣称对新建内存页进行扫描,对旧页面进行缓存,但是如果对旧内存页进行篡改不知道会不会侦测
2)不知道AMS侦测颗粒度是不是仅在于页面级别,如果仅限于同一个页面,是否可以将code分散在多个页面以逃避打分器的侦测
3)一些手段或许可以阻止AMS访问自己的内存区段,但是可能有权限问题
4)完全可以做到在恶意程序中再嵌入一个emulation engine,动态解释自己的恶意代码。这样恶意程序根本不会在内存中decloak(至少不会完全decloak),应该没有杀软能扫描到这个层级。这个方法缺点在于如果emulation engine本身被入库就跪了,而emulation engine写起来成本比较高,除非有很好的变形方案

API检测还是很有必要的,希望哪一天ESET能搞一个ATC一样的东西出来
B100D1E55
 楼主| 发表于 2017-5-21 01:35:00 | 显示全部楼层
fireherman 发表于 2017-5-21 00:57
ESET10的勒索防护本质上依然是HIPS(官方内置HIPS规则,看那个弹窗和用户自定义规则的弹窗(样式)是 ...

ESET还是得发展一点行为侦测,感觉AMS有自己的局限性。tube上经常会有bypass stupid advanced memory scanner的视频,虽然不知道是真是假……大部分还是波斯语或者俄语我看不懂……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 20:42 , Processed in 0.078333 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表