从简单案例看多层防御的重要性

wangkaka

B100D1E55 发表于 2017-11-23 23:05
从报毒名来看卡巴这方面做得比其他不少厂商来得好不少，毕竟人力物力摆在那里

此外很明显卡巴的检测系 ...

eset的高级内存扫描颗粒度还是不够，我测试时同一家族还是有被过的可能。。至于卡巴最近云使用的也多起来了，很多都是uds拉黑，入基因库不是那么积极了。。

wangkaka

B100D1E55 发表于 2017-11-23 22:59
这技术算很常见的，主流安软应该都有对应处理。不过Sonar这种预执行沙盘不好说，延时大法或许可以简单绕 ...

sonar应该不是沙盘类的，sleep函数挂起的样本过不了唢呐。而且沙盘类，就不会出现sonar杀了勒索但文件还是被加密的情况了。。

cloud01

HEMM 发表于 2017-11-23 23:19
啥？360？智能的.......为什么你要HIPS方向的走智能路线？
打磨机32并非要你依赖其HIPS，它还有不错的检 ...

我只是觉得ESET应该自带一些最基础的规则，比如对系统程序的注入和很少需要的调用询问，这个要求也不高，很少软件需要注入系统程序，我平时基本全拦截了也没什么事，其他的规则当然就自己写了。其实直接访问磁盘、全局挂钩这种都可以算高风险的动作了，ESET的HIPS模块完全不管，看来他是走多步主防的路线，靠AMS多步判断。

cloud01

B100D1E55 发表于 2017-11-23 23:02
我觉得ESET开发HIPS初衷基本是为了自保+内存监控+自动上报。除此之外的功能这么多年在用户友好度上都没见 ...

现在越来越觉得ESET的HIPS是为了AMS的多步判断，也算是为了降低客户判断所以不搞内置规则。其实也可以了，可能我比较懒吧 。但有一点不好的就是我自己设置了系统程序调用规则后，每次调用提示只看到个莫名其妙的英文名字，完全不知道这个调用是什么意思，蛋疼。然后百度查办天。所以我是觉得如果自带高危调用规则，并写入此次调用的意义和风险会对用户有很好的作用。毕竟微软下好多系统程序根本很难查到具体作用。。NND,400多个系统EXE.

afire521

连bit都被过了，还有没有可靠的主防了？

不过感觉VT上的杀软，应该都没有主防……

Cel3mt

楼主，有没有这样的样本能分享一下。我看看comodo能不能防得住

wangkaka

cloud01 发表于 2017-11-24 09:11
我只是觉得ESET应该自带一些最基础的规则，比如对系统程序的注入和很少需要的调用询问，这个要求也不高， ...

拦截注入没有白名单能玩？开机services.exe/svchost.exe 两个进程的弹窗就能弹死你，更别说在国内软件还不规范，你还用不用电脑了。。人家eset不怎么加规则有他的理由，为了减少误报。还有ams不是多步主防ok，扫描内存页，主要是用来处理加壳加花，高度混淆，反虚拟机反调试（阻止虚拟机脱壳）的普通手段脱不了的病毒样本，用到hips的技术，但和多步完全不是一个东西。。

cloud01

wangkaka 发表于 2017-11-24 10:25
拦截注入没有白名单能玩？开机services.exe/svchost.exe 两个进程的弹窗就能弹死你，更别说在国内软件还 ...

我有自建白名单，系统开机必须进程我都放进白名单了，AMS的理念也是看多步调用来判断，不过不是真正执行后，是在执行前判断，但拦截还是用的HIPS来拦截吧，不然也不不会放进HIPS.
其实像卡巴斯基的应用程序控制，系统程序基本都是白名单。ESET也可以内置系统程序白名单的。

longlong2210289

有多少人想黑你们~~

橡果公爵

天冷地冻还能看到好帖，难得。来支持