EMSI的hips拦截还是信息量太少啊

猫大人

我玩个云端没有信誉的小众galgame，里面有个官网按钮，点一下，弹出来风险提示说向其他程序注入代码。
样本区双击几个EXE，也提示向其他程序注入代码，没有更多信息了，这根本无从判断啊。
那个样本我在虚拟机点了允许一次，几秒种后弹出疑似勒索软件行为，我再点拦截，已经晚了，能加密的都被加密了。

liangxy

我看hips，只看运行的程序是不是我知道的程序，不知道的看它是在哪个目录，是否可疑，这样就够了

feelingdld23

用EMSI弹窗多，适合懂点知识的人

900703

@KevinYu0504

KevinYu0504

900703 发表于 2017-6-10 00:07
@KevinYu0504

被你招唤了

基本上我觉得 Emsi 故意在 HIPS 的部分设计的理念，就是简单易懂，
故意设计成简单简洁，这样对于一些不懂技术或者概念还很初阶的人而言，
操作上也不会有太多压力。

客观来说，防毒(杀毒)软件在真正的使用环境弹窗时，
我们使用者大多都知道自己在做什么，例如软件弹窗提示有可疑程序在注入档案，
可是我明明只是在上网看妹子，又没有在安装软件或者执行类似操作，
此时即使信誉系统对于这个档案的评价是未知，也是可以合理判断处置的。

如果说怕误砍，使用隔离取代删除，也是不错的主意 ~


当然我也能理解有些同学成绩好，技术很不错，
多少希望软件能够提供更多的资讯或者可玩度，
但这么一来，这软件的市场就受限于特定的客层跟族群，
想必获益的部分就差很多了，
也因此就得看软件将自己定位在哪个层面了

猫大人

KevinYu0504 发表于 2017-6-10 01:22
被你招唤了

基本上我觉得 Emsi 故意在 HIPS 的部分设计的理念，就是简单易懂，

感谢解答，主要是国内一些小众的软件站下载软件的时候，尤其是一些绿色版，破解版，运行的时候就弹个对其他程序注入代码，而且很多时候基本是必弹的，hips信息量少就让人无从判断了，至少能知道代码注入的是哪个程序也会好很多，相对来说BD的ATC虽然有误报，但是让人放心很多。不过ATC跟我一常用软件有冲突所以很无奈用不了就是了。

欧阳宣

你双击的都是样本区的exe了，咋还说无从判断呢……

qftest

猫大人 发表于 2017-6-10 02:31
感谢解答，主要是国内一些小众的软件站下载软件的时候，尤其是一些绿色版，破解版，运行的时候就弹个对其 ...

弹窗有选项点击详情，可以看到目标程序路径名称、以及哈希值和云端查询结果

猫大人

举个例子，Fan{过}{滤}Qiang用的Shadowsocks大家都知道吧，我用的是SSR，运行之后就这样


点详情：

检测到的对象的哈希值 (ShadowsocksR-dotnet4.0.exe):
MD5: 967A6450BDF6FD6B5BA2CAEEDE952334
SHA-1: D7FBBF24BE851EE9E1C1971C271B870DF9538DF0

子进程的数字证书信息 (ShadowsocksR-dotnet4.0.exe):
此文件没有数字签名

子进程的发布者标记的文件信息（可能被伪造） (ShadowsocksR-dotnet4.0.exe):
公司:
文件描述: ShadowsocksR
版权: Copyright © BreakWa11 2017. Fork from Shadowsocks by clowwindy
文件版本: 4.4.2.0

Emsisoft 云端 查询结果: 未知




就只有上面这4个东西，并没有目标路径信息啊
检测到的对象的哈希值（这个对判断是不是病毒没啥帮助吧）
子进程的数字证书信息（基本都显示此文件没有数字签名，有数字签名的基本都是有云端信誉的，也不会报了）
子进程的发布者标记的文件信息（可能被伪造） （右键属性就看的到的信息，而且他自己都说了可能被伪造）
Emsisoft 云端 查询结果: （同上 基本都是未知，云端威胁直接杀了，云端信誉直接放了）

qftest

猫大人 发表于 2017-6-10 13:17
举个例子，Fan{过}{滤}Qiang用的Shadowsocks大家都知道吧，我用的是SSR，运行之后就这样

我记得详情里好象可以查看父子进程路径的啊，改了吗？
哈希可以用来查VT辅助判断，有数签的不一定不报，云端信任的不一定会放行（若象我一样设置为不自动放行）
这些信息综合起来就可以大致识别被报的程序
注入是非常危险同时却又是非常常用的技术，一般来说不是很确定是安全程序的话都是先隔离，如果软件运行不正常再考虑是否恢复并排除
很多勒索病毒只有注入行为，一旦放行就挂，哪怕紧接着拦截本体也没用