GqD8i1szV.exe 测试卡巴应用程序控制、防火墙（增加卡巴系统监控测试 、SSF测试）

li13911

ccboxes 发表于 2017-7-11 14:52
不不不，现在人数占大部分的低端黑客己经没有办法对主流厂商做免杀了，就算是过扫描也撑不了多久，不到一 ...

通杀目前市面所有杀软的技术还是有的，也有在用，只不过都是见光死，默默地进村儿，打枪地不要。

墨家小子

sanhu35 发表于 2017-7-12 09:43
理论上应该是被 加固规则第二项拦截其注入

啥意思 你是说不算成功的防御吗？

sanhu35

墨家小子 发表于 2017-7-12 10:33
啥意思 你是说不算成功的防御吗？

也不算，应该是这个毒认环境，无法注入的情况下，就转为篡改方式。

skycai

墨家小子 发表于 2017-7-12 08:28
这个可以试试不 http://bbs.kafan.cn/thread-1865764-1-1.html

原帖不能回复了。
可以拦截。

墨家小子

sanhu35 发表于 2017-7-12 13:19
也不算，应该是这个毒认环境，无法注入的情况下，就转为篡改方式。

感谢解答

jmekoda1

就没见过卡巴svchost.exe
提示过

jmekoda1

serveries
就是svchost.exe

卡巴认为很这东东很重要的系统服务所以名词上换了
但实际上就是~

实际上联网出去的就是svchost.exe
之前注入到servers就是注入到svchost.exe
反正有关server的东西都是svchost.exe产生的东东

jmekoda1

墨家小子 发表于 2017-7-12 19:35
感谢解答

看15楼最后一张图 还有22楼  


卡巴拦截注入无压力

墨家小子

jmekoda1 发表于 2017-7-12 23:41
看15楼最后一张图 还有22楼  

试试这个啊
http://bbs.kafan.cn/thread-2096089-1-1.html

qftest

13楼ESET截图是正确的   @B100D1E55   @墨家小子   
ESET现在的hips经常将注入行为混淆为“启动新程序”或“修改其他进程状态”或“获取其他程序访问权”，即——有时提示启动新程序、有时提示修改状态
例如，之前ESET测试hmpalert-test的注入行为时会提示为修改进程状态，而在某次hips升级更新后就开始变为提示启动新程序calc.exe了

15楼的卡巴截图没有抓住重点   @ccboxes   
主楼样本本身就是窗口化执行，因此conhost.exe的系统调用与注入样本进程完全是理所应当（参见26楼图2或本楼附图2）（conhost不调用不注入怎么处理窗口化样本进程的启动/执行/终止？），这是由系统运行机制决定的因此拦截这个没有意义（拦这个等同于禁运），重点在于样本的入侵行为（注入svchost.exe）卡巴根本没拦到
另外我不太明白卡巴为何描述成“样本试图执行conhost”——conhost.exe的父进程不应该是csrss.exe、样本的父进程不应该是explorer.exe子进程不应该是svchost.exe吗？
同时也看不懂59楼“样本启动conhost后第二步就是操作conhost的内存地址空间”，按图说话不应该是“conhost试图操作样本进程的地址空间”吗？

@，就一个.   样本区秒杀BD的不在少数，而ATC也不过类似于EMSI BB设置成“默认使用推荐选项”罢了

@jmekoda1   看清楚再发言
“之前注入到servers就是注入到svchost.exe”？你所说的“servers”跟“svchost.exe”没有半毛钱关系
15楼最后一张图conhost.exe注入的“perl internet information server plug-in”是主楼样本，20楼联网出去的“host process for windows services”是被样本注入后的“svchost.exe”


结论：SSF/ESET/EMSI/火绒/金山毒霸/这五个都成功拦截了主楼样本注入svchost.exe