File name: bd36.exe Detection ratio: 10 / 60 注入explorer 变种来了……

显示全部楼层 · 发表于 2017-6-19 17:32:20

墨家小子发表于 2017-6-19 17:28
官人说要增强这方面的行为拦截了，希望不是单一针对注入explorer的，还有svchost、msiexec.exe……等等

是的，能特别方法注入exp，也能用此方法注入其他的进程

显示全部楼层 · 发表于 2017-6-19 17:33:54

墨家小子发表于 2017-6-19 17:29
http://bbs.kafan.cn/thread-2093637-1-1.html

http://bbs.huorong.cn/forum.php 可以在这里发

显示全部楼层 · 发表于 2017-6-19 17:35:33

sanhu35 发表于 2017-6-19 17:32
是的，能特别方法注入exp，也能用此方法注入其他的进程

除了ESET的hips修改内存的拦截和Emsisoft拦截注入没有失手过，我就没有看到别家有像样的注入防御，就连SSF也不能

显示全部楼层 · 发表于 2017-6-19 17:38:06

sanhu35 发表于 2017-6-19 17:33
http://bbs.huorong.cn/forum.php 可以在这里发

不去了，我是被spyshelter官人伤死心了，给他们发了那么多注入的样本，SSF还是提升不大，搞到现在win10下那么不稳定……大佬你怎么不跟火绒官方提议搞个anti exploit，这个是个不错的方向啊

显示全部楼层 · 发表于 2017-6-19 18:15:47

NS Kill

显示全部楼层 · 发表于 2017-6-19 18:56:48

Trend Micro：

实机双击，确实是拦截了，启动项没有创建成功，然而还是有残余。。。。。。

[mw_shl_code=css,true]Name: bd36 (1).exe
From: Unknown
Version: 1, 0, 0, 1
Copyright: Copyright (C) 2017
Detected Resource or Process ID: ZwWriteVirtualMemory
Response: Terminated[/mw_shl_code]

显示全部楼层 · 发表于 2017-6-19 19:09:55

WD kill

显示全部楼层 · 发表于 2017-6-19 19:58:13

微点MISS

显示全部楼层 · 发表于 2017-6-19 20:19:16

ESET KILL

显示全部楼层 · 发表于 2017-6-19 22:23:32

墨家小子发表于 2017-6-19 17:38
不去了，我是被spyshelter官人伤死心了，给他们发了那么多注入的样本，SSF还是提升不大，搞到现在win10下 ...

官方有自己的发展方向，我们只是个人用户无法启决定因素。
HIPS方面的意见我提过很多了，BUG修复倒是很快，但功能方面的，他们要综合考量

[可疑文件] File name: bd36.exe Detection ratio: 10 / 60 注入explorer 变种来了……

本帖子中包含更多资源