Process Doppelgänging绕过大量杀软

驭龙

B100D1E55 发表于 2017-12-8 13:43
哦你说那个ver154的更新？我估计是不行的，因为这个本身是fileless attack，当然宿主进程的file ops应该 ...

虽然是无文件攻击，但还是利用内核，而据说PICO是利用VBS的，如果开VBS的话，好像很难利用到NTDLL的内核函数
https://blogs.msdn.microsoft.com ... o-process-overview/

是这情况，所以我猜测这对新技术可能无效，当然是我个人愚见

如果配合VBS的话，很难利用到内核漏洞吧？

桑德尔

小红伞是没事还是人家压根没测试？

EnZhSTReLniKoVa

驭龙 发表于 2017-12-8 13:54
虽然是无文件攻击，但还是利用内核，而据说PICO是利用VBS的，如果开VBS的话，好像很难利用到NTDLL的内核 ...

讲得太专业了，可能大家还是不懂 要不要开帖 普及下

fireherman

B100D1E55 发表于 2017-12-8 13:46
图图难道不是存在隔离网络的环境么

我有在……备份的啊，但如果真那么不幸运被……下回来都麻烦啦。

SSD，USB，DVD-RW 这些会坏的嘛，而且数量还在……爆炸式增长中……

继续“集邮”中……

驭龙

君陌潇 发表于 2017-12-8 13:56
讲得太专业了，可能大家还是不懂 要不要开帖 普及下

没什么，我也不太懂，只是前天看了一眼，似乎以后的系统内核会受到VBS保护，通讯的话需要用PICO技术，具体情况我也不懂

驭龙

@君陌潇   

似乎我之前没有看完整，PICO应该是为WSL方面准备的东西，应该是不能阻止这注入的

下次看完整，我再说个人看法，哈

kxmp

fireherman 发表于 2017-12-8 13:32
如果是内核进程……不知道HIPS能不能锁住（保护住）文件……

硬盘里xx个GB的……图图……
...

内核有进程么....

ELOHIM

B100D1E55 发表于 2017-12-8 13:43
哦你说那个ver154的更新？我估计是不行的，因为这个本身是fileless attack，当然宿主进程的file ops应该 ...

将页面锁定在内存中

此安全设置确定哪些帐户可以使用进程将数据保持在物理内存中，这样可防止系统将数据分页到磁盘上的虚拟内存中。行使此权限会因降低可用随机存取内存(RAM)的数量而显著影响系统性能。

默认: 无。

这个页面文件吗？关机清理内存页有没有用啊？？？

驭龙

kxmp 发表于 2017-12-8 14:20
内核有进程么....

难道EKRN不是ESET的内核进程？哈哈

ELOHIM

fireherman 发表于 2017-12-8 14:00
我有在……备份的啊，但如果真那么不幸运被……下回来都麻烦啦。

SSD，USB，DVD-RW 这些会坏的嘛 ...

卧槽。
32G_GT。大佬，求分享。视觉盛宴啊喂。。