楼主: B100D1E55
收起左侧

[分享] 从简单案例看多层防御的重要性

  [复制链接]
cloud01
头像被屏蔽
发表于 2017-11-25 10:17:06 | 显示全部楼层
本帖最后由 cloud01 于 2017-11-25 10:19 编辑
欧阳宣 发表于 2017-11-25 10:13
你能把所有注入是否不带恶意全部判断清楚?连大厂杀软的智能主防都不敢这么说吧

你这段反应我记得半年 ...

对我个人来说没必要这么精确,即时阻止qq注入EXPLOER也没什么影响,HIPS本来就没有最标准的方案,只有最适合的方案,对大多数软件来说没必要注入系统程序,及时大公司也很难平衡,所以我会打开记录,如果有影响再说,用到现在也没发现有多少常规软件需要注入系统程序的。不然ESET也可以出个HIPS规则了,不就是因为每人需求想法不一样才让自己制定规则吗?最起码可以开询问,你别总是搞个人针对,我就不相信你有什么好办法。
欧阳宣
头像被屏蔽
发表于 2017-11-25 10:44:06 | 显示全部楼层
cloud01 发表于 2017-11-25 10:17
对我个人来说没必要这么精确,即时阻止qq注入EXPLOER也没什么影响,HIPS本来就没有最标准的方案,只有最 ...

你一边说没这么必要精确,一边又在强求通过eset的hips干很多精确的事
你一边说别人也没有什么好方法,但是你自己的肉眼+规则连大厂的智能主防多半都比不上,更别提出了事回滚了
eset的hips内置绝对是有规则的,不然不存在智能模式这一说,按理应该全部弹窗全部交互,也不知道你说话前有没有想过自己的话合不合逻辑。
阻止QQ注入当然没关系,如果是wscript.exe呢?带一个微软数字签名的程序就真的是系统程序,后续行为就真的没问题么。前段时间我测的有个样本是调用win10自带的帮助向导程序来注入的,如果放给你弹了窗你真的会不放行么?

都两年了还一本正经的胡说八道,不针对你针对谁?
cloud01
头像被屏蔽
发表于 2017-11-25 10:56:52 | 显示全部楼层
本帖最后由 cloud01 于 2017-11-25 10:59 编辑
欧阳宣 发表于 2017-11-25 10:44
你一边说没这么必要精确,一边又在强求通过eset的hips干很多精确的事
你一边说别人也没有什么好方法,但 ...

我的白名单也不是把所有系统呈都放进去,只放 开机必须的。其他都询问,而且配合调用系统程序规则。你都不知道整套规则是怎么样的。
再说我本来电脑上都是常用软件,所以才用hips。如果是专门研发的和玩游戏的肯定不会用单步HIPS。我用HIPS就是为了更严格的保护主要电脑。
至少防止系统程序被注入和替换,以及防止不可恢复的破坏和远控木马。我不像你追求大厂面向所有人所有问题的无最终解方案的方案。
玩的电脑中个毒什么的也无所谓。
欧阳宣
头像被屏蔽
发表于 2017-11-25 11:00:00 | 显示全部楼层
cloud01 发表于 2017-11-25 10:56
我的白名单也不是把所有系统呈都放进去,只放 开机必须的。其他都询问,而且配合调用系统程序规则。你都 ...

我当然不知道,但是多半没有sonar,ATD,卡巴SW内置的基于庞大系统文件信誉的数据库全吧。你自己其实连一个程序是不是系统程序都不太好判定,这点自知之明最好还是要有
cloud01
头像被屏蔽
发表于 2017-11-25 11:01:29 | 显示全部楼层
欧阳宣 发表于 2017-11-25 11:00
我当然不知道,但是多半没有sonar,ATD,卡巴SW内置的基于庞大系统文件信誉的数据库全吧。你自己其实连一 ...

对,所以要求ESET对高危调用规则内置规则,至少可以看出来调用的具体在干嘛。
cloud01
头像被屏蔽
发表于 2017-11-25 11:07:45 | 显示全部楼层
欧阳宣 发表于 2017-11-25 11:00
我当然不知道,但是多半没有sonar,ATD,卡巴SW内置的基于庞大系统文件信誉的数据库全吧。你自己其实连一 ...

你说的调用帮助文件真的只是调用,而不是先注入帮助文件、再用帮助文件注入其他系统程序吗?
驭龙
发表于 2017-11-25 11:09:14 | 显示全部楼层
B100D1E55 发表于 2017-11-25 00:02
那大概是我对现在的SONAR有什么误解……毕竟上次用赛铁已经是5年前了,那时候基本上是初期触发,而且严重 ...

别被某百科的不靠谱东西误导,SONAR可不是四代才有行为分析的,二代就有了,只是不全面
二代
https://community.norton.com/node/4603

三代
https://community.norton.com/node/5263
B100D1E55
 楼主| 发表于 2017-11-25 11:20:59 | 显示全部楼层
欧阳宣 发表于 2017-11-25 10:02
那就又回到根据信誉动态调节启发或者判定的阈值老路么……而且还是只能针对PE文件

要是在大型或者常见 ...

说实话这基本靠近图灵机的能力边界了。杀软很大程度上只能知道程序大致想干什么,却没法知道具体想做什么,剩下的就靠heuristic的统计模型来拟合来猜。所以有些安全研究人员说杀软无用也有那么一些道理
欧阳宣
头像被屏蔽
发表于 2017-11-25 11:21:55 | 显示全部楼层
cloud01 发表于 2017-11-25 11:01
对,所以要求ESET对高危调用规则内置规则,至少可以看出来调用的具体在干嘛。

你知道哪个是高危?你不知道的话开智能模式吧。你的人脑比eset的内置规则还全还聪明?

哈哈哈那是个exe……你以为是chm吧

别编辑自己的话啊,好像需要去弥补什么漏洞似的,显得心虚,后面补上那句中了毒都无所谓的话,你还要杀软干什么呢。
B100D1E55
 楼主| 发表于 2017-11-25 11:23:29 | 显示全部楼层
驭龙 发表于 2017-11-25 11:09
别被某百科的不靠谱东西误导,SONAR可不是四代才有行为分析的,二代就有了,只是不全面
二代
https://c ...

hmm,现在SONAR误杀还严重吗?我用2的那时候基本上除了大众软件外的都杀了个遍
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:45 , Processed in 0.088781 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表