楼主: jone_jys
收起左侧

[资讯] 独立的自适应威胁防护(基于云的行为分析)

[复制链接]
ccboxes
发表于 2018-4-29 11:03:27 | 显示全部楼层

咖啡个人版的RealProtect好像是纯云的,本地没库(或者很少),行为都是发送到云端实时分析。

我在双击咖啡官方的RealProtect测试文件时发现网不好就不会报。
阿吉熊
发表于 2018-5-1 09:48:54 | 显示全部楼层
jone_jys 发表于 2018-4-28 16:04
几次上报后,已解除误报了。

赞,软媒里有个制作系统Usb安装盘,也老是被报毒,下载下来就报毒。虽然现在装系统都用微软自己提供的那个制作工具,老的也是用ultroiso,但毕竟那东西没毒,可以的话,麻烦你也上报给它一下哦
,就一个.
发表于 2018-5-1 12:11:45 | 显示全部楼层
,就一个. 发表于 2018-4-29 07:17
自适应威胁防护好像防不了这两个文件

https://bbs.kafan.cn/thread-2096167-1-1.html

自适应威胁防护好像防不了这两个文件
单身漏洞利用保护可以防御

ExP:Illegal API Use 阻止 试图利用 C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE 的漏洞,该漏洞目标为 AtlComPtrAssign API。
分析器/检测程序
分析器内容创建日期        2018年4月4日 下午10:09
分析器内容版本        10.5.0.8330
产品名称        McAfee Endpoint Security
分析器规则 ID        6096
分析器规则名称        Powershell Command Restriction - InvokeExpression
产品版本        10.5.4.4240
功能名称        漏洞利用防护
 
威胁
执行的操作        阻止
威胁类别        主机入侵缓冲区溢出
威胁事件 ID        18054
威胁已被处理        是
威胁名称        ExP:Illegal API Use
威胁严重性        严重
威胁时间戳        2018年5月1日 下午12:04
威胁类型        漏洞利用防护
 
目标
目标访问时间        2009年7月14日 上午7:49
目标创建时间        2009年7月14日 上午7:49
目标文件大小(字节)        473600
目标哈希        852d67a27e454bd389fa7f02a8cbe23f
目标主机名        LENOVO-PC
目标修改时间        2009年7月14日 上午9:39
目标名        POWERSHELL.EXE
目标父级进程哈希        8886e0697b0a93c521f99099ef643450
目标父级进程名        WSCRIPT.EXE
目标父级进程已签名        是
目标父级进程签名者        C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS
目标路径        C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0
目标进程名        POWERSHELL.EXE
目标已签名        是
目标签名者        C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS
目标用户名        lenovo-PC\lenovo
 
其他
媒介类型        本地系统
客户端 ID        1

评分

参与人数 1人气 +1 收起 理由
jone_jys + 1 感谢提供分享

查看全部评分

liangxy
头像被屏蔽
发表于 2018-5-1 16:00:01 | 显示全部楼层
,就一个. 发表于 2018-5-1 12:11
自适应威胁防护好像防不了这两个文件
单身漏洞利用保护可以防御

沙盘运行,咖啡个人版没反应啊
jone_jys
头像被屏蔽
 楼主| 发表于 2018-5-1 18:02:56 | 显示全部楼层
,就一个. 发表于 2018-5-1 12:11
自适应威胁防护好像防不了这两个文件
单身漏洞利用保护可以防御

我这漏洞利用防护也没能防住呀!其中一个倒是运行了没反应,另一个绕过成功加密了。
,就一个.
发表于 2018-5-1 21:46:12 | 显示全部楼层
jone_jys 发表于 2018-5-1 18:02
我这漏洞利用防护也没能防住呀!其中一个倒是运行了没反应,另一个绕过成功加密了。

默认的漏洞利用防护不能防御,需要手动勾选ID为6096这一项的漏洞利用防护 Powershell Command Restriction - InvokeExpression

这一类的原本通杀

评分

参与人数 1人气 +1 收起 理由
jone_jys + 1 感谢解答: )

查看全部评分

,就一个.
发表于 2018-5-1 21:47:48 | 显示全部楼层
liangxy 发表于 2018-5-1 16:00
沙盘运行,咖啡个人版没反应啊

兄Die 咖啡个人版是不能防御的 请用MES 需要手动勾选ID为6096这一项的漏洞利用防护 Powershell Command Restriction - InvokeExpression

这一类的原本通杀
hansyu
发表于 2018-5-1 23:17:07 | 显示全部楼层
liangxy 发表于 2018-5-1 16:00
沙盘运行,咖啡个人版没反应啊

防火墙设置入侵防御,敏感度高是否可行?
liangxy
头像被屏蔽
发表于 2018-5-2 00:50:25 | 显示全部楼层
hansyu 发表于 2018-5-1 23:17
防火墙设置入侵防御,敏感度高是否可行?

沙盘运行自动退出了
jone_jys
头像被屏蔽
 楼主| 发表于 2018-5-2 08:07:25 | 显示全部楼层
,就一个. 发表于 2018-5-1 21:46
默认的漏洞利用防护不能防御,需要手动勾选ID为6096这一项的漏洞利用防护 Powershell Command Restrictio ...

通用权限升级防护 (GPEP) 支持?企业版默认禁用了这一项。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 02:24 , Processed in 0.103972 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表