搜索
查看: 3336|回复: 78
收起左侧

[病毒样本] 主防测试

  [复制链接]
,就一个.
发表于 2018-6-10 20:32:12 | 显示全部楼层 |阅读模式
可能是我曾经被这个样本害惨了的缘故,主防不能拦截此样本的杀软我一律不会用,因为我大学时代,就因为相信某某杀软双击无所畏惧,就实机双击,结果硬盘数据全部没有,曾经熬夜用笔记本6个小时辛辛苦苦写的毕业论文和E盘花了200块钱买的600多G的BT种子全他妈没有了,现在想想眼泪都包不住。并且硬盘需要整个格式化以后才能重新分区,再用PE重装系统,比起现在的什么注入类,偷偷加密类,挖矿类,这种病毒的威力来的太直接太猛烈了,同样类型的彩虹猫人家好歹会提醒你MBR被锁了,这个样本就是一瞬间,你的硬盘什么都没有了。还是那句话,查杀再厉害也有失手的时候,有些东西,还得靠主防或者HIPS。

如果你的杀软有主防 请双击测试 需要右键管理员身份运行样本才可以触发样本行为 如果你的主防无法防御此样本,那么勒索MBR一类的(国内的有最近的彩虹猫,很久以前的江民炸弹)包括在未入库之前你都是危险的,过主防的可以考虑换掉了。


测试标准 关闭杀软文件监控,开启行为监控,右键管理员运行样本,不蓝屏算防御成功,但凡是蓝屏无论杀软是否弹出拦截对话,都算失败,因为凡是MBR分区表的蓝屏就再也开不了机了,真的,不信你试试,GPT分区表的除外,但是目前还有大量用户使用的都是MBR,家用PC硬盘2TB够用了。
GPT目前多用于MAC(苹果)和硬盘大于2TB的win用户。


我测试过的结果有  

卡巴SW可以完美拦截  G Data的BB可以完美拦截  迈克菲的Real Protect 可以完美防御拦截  金山毒霸的铠甲可以完美拦截  ESET HIPS开交互模式可以拦截

WD最新版 开启内核隔离 开启防勒索 改MD5 双击被过  FS关闭监控只开启DG双击被过  比特梵德老以前的ATC时代可以成功防御(估计跟那时候有独立IDS组件有关),新版本ATD双击被过。  360国际版双击被过 。


没主防的杀软就不用测试了,BD 红伞 引擎已经入库。


附迈克菲Real Protect击杀日志

改MD5过迈克菲扫描

双击提示请求系统资源不足,随后主防杀之  注意报Real Protect-LS!开头的是本地主防,所有的云主防对这种样本都没卵用,等不到跑了行为再反馈(没这个机会)。

威胁
执行的操作        清理
威胁类别        检测到恶意软件
威胁事件 ID        35107
威胁已被处理        是
威胁名称        Real Protect-LS!971d7142f1aa
威胁严重性        严重
威胁时间戳        2018年6月10日 下午7:24
威胁类型        特洛伊木马程序


源访问时间        2018年6月10日 下午7:24
源创建时间        2018年4月12日 上午7:34
源文件大小        51288
源主机名        DESKTOP-G697795
源修改时间        2018年4月12日 上午7:34
源进程名称        C:\WINDOWS\SYSTEM32\SVCHOST.EXE
源用户名        System

目标
目标哈希        971d7142f1aa0620b6336aa1cdc8f7ce
目标主机名        DESKTOP-G697795
目标名        试试就试试.EXE
目标路径        D:\360极速浏览器下载\双击有惊喜




样本


密码123

欢迎各位使用其他带有主防的杀软参与测试 您将有机会获得谢谢参与或者试试就试试

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
驭龙 + 1
wjy19800315 + 1 感谢支持,欢迎常来: )

查看全部评分

vm001
发表于 2018-6-10 20:49:03 | 显示全部楼层
UEF的一样挂挂





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
pal家族
发表于 2018-6-10 21:01:49 | 显示全部楼层
卡巴可以拦截 吗????。。。行为这么少怎么会拦截,
我这里可是直接BSOD了,不过楼上说gpt分区也gg,我倒是没事情。。。
a445441
发表于 2018-6-10 21:11:29 | 显示全部楼层
微点拦截后蓝屏
霄栋
发表于 2018-6-10 21:16:30 | 显示全部楼层
本帖最后由 霄栋 于 2018-6-10 21:18 编辑

改md5,虚拟机测试BDF:
1.非管理员权限运行:ATD拦截
2.管理员权限运行,虚拟机蓝屏,MBR被破坏

看来BDF应该用的是新版ATD了,不过这个ATD是真的迷不知道2019会不会再改

评分

参与人数 1人气 +1 收起 理由
,就一个. + 1 谢谢测试,你证明了我帖子里面说的话是真实.

查看全部评分

pal家族
发表于 2018-6-10 21:18:31 | 显示全部楼层
霄栋 发表于 2018-6-10 21:16
改md5,虚拟机测试BDF:
1.非管理员权限运行:ATD拦截
2.管理员权限运行,虚拟机蓝屏,ATD miss

我这非管理员运行,程序就像没运行一样,像是闪退
2605276004x
发表于 2018-6-10 21:20:55 | 显示全部楼层
楼主一口气测了这么多杀软,就不去测了,Kaspersky
霄栋
发表于 2018-6-10 21:22:59 | 显示全部楼层
本帖最后由 霄栋 于 2018-6-10 21:28 编辑
pal家族 发表于 2018-6-10 21:18
我这非管理员运行,程序就像没运行一样,像是闪退

拿家庭版测试了下,BDTS2018,非管理员运行,确实会被ATD拦截

然而并没有什么luan用,管理员运行,GG


我这里非管理员运行,没有报错信息,样本被隔离,BDF隔离区显示原因是AVC(主防报毒,如果是监控应该显示OnAccess)。
管理员运行,直接蓝屏,重启后虚拟机无法启动,MBR被破坏。由于恢复了快照,没有截图

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
2605276004x
发表于 2018-6-10 21:26:21 | 显示全部楼层
本帖最后由 2605276004x 于 2018-6-10 21:32 编辑
pal家族 发表于 2018-6-10 21:01
卡巴可以拦截 吗????。。。行为这么少怎么会拦截,
我这里可是直接BSOD了,不过楼上说gpt分区也gg,我 ...

据我观察的上一次的,GPT,卡巴就蓝屏,MBR就拦截我尝试去找找那帖子----->https://bbs.kafan.cn/forum.php?m ... ;page=4#pid41988762
霄栋
发表于 2018-6-10 21:38:10 | 显示全部楼层
2605276004x 发表于 2018-6-10 21:26
据我观察的上一次的,GPT,卡巴就蓝屏,MBR就拦截我尝试去找找那帖子----->https://bbs.kafa ...

我测试也是这样的,MBR可拦截,GPT会蓝屏,不过不会被破坏就是了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-6-22 13:15 , Processed in 0.051706 second(s), 7 queries , MemCached On.

快速回复 返回顶部 返回列表