这个样本到底是修改系统进程，还是启动系统进程？ESET hips有话要说……

墨家小子

http://bbs.kafan.cn/thread-2095962-1-1.html

卡巴程序控制并没有提示样本修改注入svchost，而费尔和SpyShelter都提示样本修改系统进程

==============

还有这个 http://bbs.kafan.cn/thread-2096089-1-1.html

电脑发烧友

              我没记错的话，一个子进程被启动，这个子进程是拥有父进程所有句柄的，也是说父进程可以借此来控制子进程。这点有一个旁证，COMODO在“执行一个程序”的弹窗中，有时会提到“一旦允许此操作说明该进程可以获得对子进程的控制权（差不多就是这个意思）”


我觉得真相可能是这个。

墨家小子

电脑发烧友 发表于 2017-7-12 12:15
我没记错的话，一个子进程被启动，这个子进程是拥有父进程所有句柄的，也是说父进程可以借此 ...

试试这个 http://bbs.kafan.cn/thread-2096089-1-1.html

电脑发烧友

墨家小子 发表于 2017-7-12 19:38
试试这个 http://bbs.kafan.cn/thread-2096089-1-1.html

我这里没有启动explorer的行为。不知道为什么。

墨家小子

电脑发烧友 发表于 2017-7-12 12:15
我没记错的话，一个子进程被启动，这个子进程是拥有父进程所有句柄的，也是说父进程可以借此 ...

这个可有说服力？

电脑发烧友

墨家小子 发表于 2017-7-13 21:49
这个可有说服力？

不清楚，毕竟“修改其他应用程序状态”这个范围有点大。实际上，在我这里ESET的“修改其他应用程序状态”弹窗十分常见，不做好排除怕是无数的弹窗，但是我用毛豆和卡巴（低限制组）关于“修改其他进程内存”和“运行代码注入”的弹窗却非常少。
这个可以可以猜一下。毕竟官方没有给出“修改其他应用程序状态”这个具体代表什么，只是经过我们测试，对于此类样本有防御。可能是ESET的拦截面比较广，比如可能是HOOK OpenProcess ，这样简单粗暴，也很有效。所以目前也不能确定是不是老司机漏了，可能老司机觉得自己的权限继承强无敌，所以没有做防御，或者知道却认为不用修改，或者压根就不知道。

墨家小子

电脑发烧友 发表于 2017-7-14 11:58
不清楚，毕竟“修改其他应用程序状态”这个范围有点大。实际上，在我这里ESET的“修改其他应用程序状态” ...

电脑发烧友

墨家小子 发表于 2017-7-14 12:10

我当时用的时候怎么没发现

墨家小子

电脑发烧友 发表于 2017-7-14 12:33
我当时用的时候怎么没发现

要不试试这几个啊 把样本加入到低限制组，看卡巴的程序控制会怎样拦截？
http://bbs.kafan.cn/forum.php?mo ... 89&pid=40283017

电脑发烧友

墨家小子 发表于 2017-7-14 12:54
要不试试这几个啊 把样本加入到低限制组，看卡巴的程序控制会怎样拦截？
http://bbs.kafan.cn/for ...

这个不是试过了么，我本地跑不出行为。
另外，为什么弹窗里是“终止\暂停其他应用程序，修改其他应用程序状态”而不是修改其他应用程序状态，我没记错的话终止，暂停，注入进程都需要用OpenProcess获得句柄的。