GqD8i1szV.exe 测试卡巴应用程序控制、防火墙（增加卡巴系统监控测试、SSF测试）

显示全部楼层 · 发表于 2017-7-11 10:19:09

墨家小子发表于 2017-7-11 10:14
确实，不过现在是无法判定第二步样本是不是有WriteProcessMemory的行为，费尔 ssf EMSI说有，ESET 卡巴说 ...

看截图有WriteProcessMemory行为无疑，没拦截到不能说没有。可以试试x64下带vt或者x86下的360，必拦无疑。但是有可能直接云杀就拉黑了。只要被主防拦截一次，云直接就上传特征了。
杀毒软件就是个摆设，想过的话分分钟过。。。

显示全部楼层 · 发表于 2017-7-11 10:24:44

li13911 发表于 2017-7-11 10:19
看截图有WriteProcessMemory行为无疑，没拦截到不能说没有。可以试试x64下带vt或者x86下的360，必拦无疑 ...

杀毒软件就是个摆设，想过的话分分钟过

这句话并不适当，目前只能说静态扫描容易过，主防依然相当难。就算是静态扫描，面对传统启发引擎与统计引擎的结合也很难下手。

显示全部楼层 · 发表于 2017-7-11 10:53:46

墨家小子发表于 2017-7-11 10:09
你看一下，程序里的conhost有没有允许修改任何其他程序这一条？

并木有。顺带：

显示全部楼层 · 发表于 2017-7-11 10:58:16

F-Secure Miss

Immunet Kill

显示全部楼层 · 发表于 2017-7-11 12:21:07

本帖最后由，就一个. 于 2017-7-11 15:41 编辑

你们还在讨论拦截到这一步一会拦截那一步我大BD ATC一步就拿下了并且没有任何异议都来用BD吧 ATC的综合性能（智能性跟拦截率综合考虑）秒杀目前任何主防跟HIPS 在行为阻断这一块 ATC说第二至少目前没人敢说第一
先来个ATC 等会测试GD
大BD总是给人自信

显示全部楼层 · 发表于 2017-7-11 13:16:43

哥的她

AVA 25.13316
GD 25.9972

*** Prozess ***

Prozess: 6412
Dateiname: GqD8i1szV.exe
Pfad: d:\360极速浏览器下载\gqd8i1szv\gqd8i1szv.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 2017年7月11日 13:15:44
Änderungsdatum: 2017年7月11日 8:08:26

Gestartet von: Explorer.EXE
Herausgeber: Microsoft Windows

*** Aktionen ***

Das Programm stellt eine Verbindung über ein Netzwerk her.
Das Programm wurde im Speicher modifiziert.

*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
D:\360极速浏览器下载\GqD8i1szV\GqD8i1szV.exe

Folgende Registry Einträge wurden gelöscht:

YGLRKLjgcnJycmJicCp0okInKiYGt3KicqJiYpArFo3SkC4nJyYmJwfKcnJiYnJyoC0nJyYmJweccnJycmJi0CgnJyYmJwd3LycnJycmBqcrGJk1ZisnGJk1ZisnJganLScnJiYnB8cvJycmJicH5ygnCOctJycmJicHaCknB7gvJycnJyYG6ConB+grJycmJicHAA
Version der Regeln: 5.0.148
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 68091

"D:\360极速浏览器下载\GqD8i1szV\GqD8i1szV.exe"
MD5: 9506332124672C9D8F53F0FA3565E5DA
C:\windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24

显示全部楼层 · 发表于 2017-7-11 13:30:01

ccboxes 发表于 2017-7-11 10:24
这句话并不适当，目前只能说静态扫描容易过，主防依然相当难。就算是静态扫描，面对传统启发引擎与统 ...

过杀软看怎么过了。主防照样过。如果是纯手动的HIPS可能过不了，但那个不是杀软了，对用户的打扰程度太高，还不如没有，也只能小众玩玩

显示全部楼层 · 发表于 2017-7-11 14:27:11

火绒没反应

显示全部楼层 · 发表于 2017-7-11 14:52:46

li13911 发表于 2017-7-11 13:30
过杀软看怎么过了。主防照样过。如果是纯手动的HIPS可能过不了，但那个不是杀软了，对用户的打扰程度太高 ...

不不不，现在人数占大部分的低端黑客己经没有办法对主流厂商做免杀了，就算是过扫描也撑不了多久，不到一天就会被入库，不然天然行为模糊的勒索也不会流行起来。

现在流行的除了勒索（普通的也不是很灵光了，只有使用PowerShell的还比较难缠），就只有社会工程学恶意软件，通过各种方式来诱导用户主动关闭安软。

显示全部楼层 · 发表于 2017-7-11 15:04:54

请问这个SSF是免费的防火墙吗？

[可疑文件] GqD8i1szV.exe 测试卡巴应用程序控制、防火墙（增加卡巴系统监控测试、SSF测试）

本帖子中包含更多资源

本帖子中包含更多资源

[可疑文件] GqD8i1szV.exe 测试卡巴应用程序控制、防火墙（增加卡巴系统监控测试 、SSF测试）

本帖子中包含更多资源

本帖子中包含更多资源

[可疑文件] GqD8i1szV.exe 测试卡巴应用程序控制、防火墙（增加卡巴系统监控测试、SSF测试）