搜索
楼主: 墨家小子
收起左侧

[可疑文件] GqD8i1szV.exe 测试卡巴应用程序控制、防火墙(增加卡巴系统监控测试 、SSF测试)

[复制链接]
墨家小子
 楼主| 发表于 2017-7-11 09:37:11 | 显示全部楼层
B100D1E55 发表于 2017-7-11 09:31
hmm是的。。不过我后续没看到弹窗了。重新运行一次看看

你新建一个规程,并把修改其他程序这一项改成询问,建立在自动模式下这个最简单明了,有注入eset就会拦截的
ccboxes
发表于 2017-7-11 09:39:20 | 显示全部楼层
墨家小子 发表于 2017-7-11 09:33
没错,样本启动conhost.exe,SSF并没有拦截到
你这是全手动吧?怎么没看到对svchost的操作

似乎卡巴默认不拦截conhost对svchost的注入(估计因为是完全正常的行为)但仍然给出了提示。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-11 09:40:41 | 显示全部楼层

果然不粗我所料 EMSI会有拦截注入的弹窗,现在是费尔 ssf EMSI 一个阵营 ,ESET待定,卡巴需要伙伴支持了
ccboxes
发表于 2017-7-11 09:41:01 | 显示全部楼层
墨家小子 发表于 2017-7-11 09:33
没错,样本启动conhost.exe,SSF并没有拦截到
你这是全手动吧?怎么没看到对svchost的操作

如果允许的话,接下来就会触发SW
墨家小子
 楼主| 发表于 2017-7-11 09:42:20 | 显示全部楼层
ccboxes 发表于 2017-7-11 09:39
似乎卡巴默认不拦截conhost对svchost的注入(估计因为是完全正常的行为)但仍然给出了提示。

卡巴手动档无敌了,继承派牛逼
B100D1E55
发表于 2017-7-11 09:42:35 | 显示全部楼层
墨家小子 发表于 2017-7-11 09:37
你新建一个规程,并把修改其他程序这一项改成询问,建立在自动模式下这个最简单明了,有注入eset就 ...

我之前试过了,总之交互下我就看到这四个






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-11 09:43:02 | 显示全部楼层
ccboxes 发表于 2017-7-11 09:41
如果允许的话,接下来就会触发SW

不提SW,那个超级变态的
墨家小子
 楼主| 发表于 2017-7-11 09:46:36 | 显示全部楼层
B100D1E55 发表于 2017-7-11 09:42
我之前试过了,总之交互下我就看到这四个:

看来ESET并没有很好的解释svchost是如何被控制的失望
ccboxes
发表于 2017-7-11 09:54:07 | 显示全部楼层
墨家小子 发表于 2017-7-11 09:42
卡巴手动档无敌了,继承派牛逼

不过目前2017的应用程序控制我认为HOOK的函数还是不够,截获的命令不详细。2018似乎加强了监控,增加了注入,等新版本再看。

你看我上几个截图有的操作卡巴就不能给出操作目标。
莒县小哥
发表于 2017-7-11 09:55:36 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-23 21:09 , Processed in 0.048059 second(s), 5 queries , MemCached On.

快速回复 返回顶部 返回列表