楼主: B100D1E55
收起左侧

[分享] 从简单案例看多层防御的重要性

  [复制链接]
wangkaka
发表于 2017-11-24 08:44:23 | 显示全部楼层
B100D1E55 发表于 2017-11-23 23:05
从报毒名来看卡巴这方面做得比其他不少厂商来得好不少,毕竟人力物力摆在那里

此外很明显卡巴的检测系 ...

eset的高级内存扫描颗粒度还是不够,我测试时同一家族还是有被过的可能。。至于卡巴最近云使用的也多起来了,很多都是uds拉黑,入基因库不是那么积极了。。
wangkaka
发表于 2017-11-24 08:47:09 | 显示全部楼层
B100D1E55 发表于 2017-11-23 22:59
这技术算很常见的,主流安软应该都有对应处理。不过Sonar这种预执行沙盘不好说,延时大法或许可以简单绕 ...

sonar应该不是沙盘类的,sleep函数挂起的样本过不了唢呐。而且沙盘类,就不会出现sonar杀了勒索但文件还是被加密的情况了。。
cloud01
头像被屏蔽
发表于 2017-11-24 09:11:12 | 显示全部楼层
HEMM 发表于 2017-11-23 23:19
啥?360?智能的.......为什么你要HIPS方向的走智能路线?
打磨机32并非要你依赖其HIPS,它还有不错的检 ...

我只是觉得ESET应该自带一些最基础的规则,比如对系统程序的注入和很少需要的调用询问,这个要求也不高,很少软件需要注入系统程序,我平时基本全拦截了也没什么事,其他的规则当然就自己写了。其实直接访问磁盘、全局挂钩这种都可以算高风险的动作了,ESET的HIPS模块完全不管,看来他是走多步主防的路线,靠AMS多步判断。
cloud01
头像被屏蔽
发表于 2017-11-24 09:15:34 | 显示全部楼层
B100D1E55 发表于 2017-11-23 23:02
我觉得ESET开发HIPS初衷基本是为了自保+内存监控+自动上报。除此之外的功能这么多年在用户友好度上都没见 ...

现在越来越觉得ESET的HIPS是为了AMS的多步判断,也算是为了降低客户判断所以不搞内置规则。其实也可以了,可能我比较懒吧 。但有一点不好的就是我自己设置了系统程序调用规则后,每次调用提示只看到个莫名其妙的英文名字,完全不知道这个调用是什么意思,蛋疼。然后百度查办天。所以我是觉得如果自带高危调用规则,并写入此次调用的意义和风险会对用户有很好的作用。毕竟微软下好多系统程序根本很难查到具体作用。。NND,400多个系统EXE.
afire521
发表于 2017-11-24 09:50:56 | 显示全部楼层
连bit都被过了,还有没有可靠的主防了?

不过感觉VT上的杀软,应该都没有主防……
Cel3mt
发表于 2017-11-24 10:14:15 | 显示全部楼层
楼主,有没有这样的样本能分享一下。我看看comodo能不能防得住
wangkaka
发表于 2017-11-24 10:25:21 | 显示全部楼层
本帖最后由 wangkaka 于 2017-11-24 10:26 编辑
cloud01 发表于 2017-11-24 09:11
我只是觉得ESET应该自带一些最基础的规则,比如对系统程序的注入和很少需要的调用询问,这个要求也不高, ...

拦截注入没有白名单能玩?开机services.exe/svchost.exe 两个进程的弹窗就能弹死你,更别说在国内软件还不规范,你还用不用电脑了。。人家eset不怎么加规则有他的理由,为了减少误报。还有ams不是多步主防ok,扫描内存页,主要是用来处理加壳加花,高度混淆,反虚拟机反调试(阻止虚拟机脱壳)的普通手段脱不了的病毒样本,用到hips的技术,但和多步完全不是一个东西。。
cloud01
头像被屏蔽
发表于 2017-11-24 10:37:48 | 显示全部楼层
wangkaka 发表于 2017-11-24 10:25
拦截注入没有白名单能玩?开机services.exe/svchost.exe 两个进程的弹窗就能弹死你,更别说在国内软件还 ...

我有自建白名单,系统开机必须进程我都放进白名单了,AMS的理念也是看多步调用来判断,不过不是真正执行后,是在执行前判断,但拦截还是用的HIPS来拦截吧,不然也不不会放进HIPS.
其实像卡巴斯基的应用程序控制,系统程序基本都是白名单。ESET也可以内置系统程序白名单的。
longlong2210289
发表于 2017-11-24 11:10:53 | 显示全部楼层
有多少人想黑你们~~
橡果公爵
发表于 2017-11-24 12:12:30 | 显示全部楼层
天冷地冻还能看到好帖,难得。来支持
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:54 , Processed in 0.096378 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表