主防测试2

Picca

建议测试360卫士，听说国际版有所保留

，就一个.

www-tekeze 发表于 2018-6-10 22:56
赞成，过于简单的动作，也要求仅凭主防就拦截，没庞大信誉库支持的话，比如断网等情况下，那不知会产生多 ...

也不能这样说，趋势的AEGIS  G Data 的BB  还有最近迈克菲后出来的Real Protect 都属于智能主防，包括微点（个人认为属于半智能），
可以看出上面的智能主防 极有可能是根据样本会自动杀掉 explorer.exe 进程这一个行为才触发拦截点的。
哈勃分析的关键行为

行为描述：	查找文件方式探测虚拟机
详情信息：	FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\Local Settings\Application Data\VMware\Program FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\Local Settings\Application Data\VMware\* FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\Local Settings\Temp\VMwareDnD\Program FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\Local Settings\Temp\VMwareDnD\* FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\Program FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\* FindFirstFileEx: FileName = c:\Documents and Settings\All Users\Application Data\VMware\Program FindFirstFileEx: FileName = c:\Documents and Settings\All Users\Application Data\VMware\* FindFirstFileEx: FileName = c:\Documents and Settings\root\Local Settings\Application Data\VMware\Program FindFirstFileEx: FileName = c:\Documents and Settings\root\Local Settings\Application Data\VMware\* FindFirstFileEx: FileName = c:\Program Files\Common Files\VMware\Program FindFirstFileEx: FileName = c:\Program Files\Common Files\VMware\* FindFirstFileEx: FileName = c:\Program Files\Oracle\VirtualBox Guest Additions\Program FindFirstFileEx: FileName = c:\Program Files\Oracle\VirtualBox Guest Additions\* FindFirstFileEx: FileName = c:\Program Files\VMware\Program
行为描述：	杀掉进程
详情信息：	TASKKILL = taskkill /f /im explorer.exe C:\WINDOWS\explorer.exe

光是反虚拟机跟杀掉explorer.exe进程两条行为就不简单。
还有就是会删除这些文件
文件行为

行为描述：	删除文件
详情信息：	C:\WINDOWS\0.log C:\WINDOWS\bitssetup.log C:\WINDOWS\cmsetacl.log C:\WINDOWS\comsetup.log C:\WINDOWS\control.ini C:\WINDOWS\desktop.ini C:\WINDOWS\DtcInstall.log C:\WINDOWS\explorer.scf C:\WINDOWS\hh.exe C:\WINDOWS\KB2412687.log C:\WINDOWS\msdfmap.ini C:\WINDOWS\msmqinst.log C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS\ntdtcsetup.log C:\WINDOWS\ocgen.log
行为描述：	查找文件
详情信息：	FileName = C:\WINDOWS FileName = C:\WINDOWS\system32 FileName = C:\WINDOWS\system32\cmd.exe FileName = C:\Documents and Settings FileName = C:\Documents and Settings\Administrator FileName = C:\Documents and Settings\Administrator\Local Settings FileName = C:\Documents and Settings\Administrator\Local Settings\Temp FileName = C:\Documents and Settings\Administrator\Local Settings\%temp% FileName = c:\windows\* FileName = c:\Program FileName = c:\* FileName = c:\222c25ed\Program FileName = c:\222c25ed\* FileName = c:\222c25ed\IE8-Setup-Full\Program FileName = c:\222c25ed\IE8-Setup-Full\*

，就一个.

霄栋 发表于 2018-6-10 21:43
说明：
虚拟机为win10 1709，样本未能成功删除系统程序（访问被拒绝），但explorer.exe被结束，大量cmd进 ...

这货会反虚拟机

哈勃分析的
关键行为

行为描述：	查找文件方式探测虚拟机
详情信息：	FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\Local Settings\Application Data\VMware\Program FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\Local Settings\Application Data\VMware\* FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\Local Settings\Temp\VMwareDnD\Program FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\Local Settings\Temp\VMwareDnD\* FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\Program FindFirstFileEx: FileName = c:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\* FindFirstFileEx: FileName = c:\Documents and Settings\All Users\Application Data\VMware\Program FindFirstFileEx: FileName = c:\Documents and Settings\All Users\Application Data\VMware\* FindFirstFileEx: FileName = c:\Documents and Settings\root\Local Settings\Application Data\VMware\Program FindFirstFileEx: FileName = c:\Documents and Settings\root\Local Settings\Application Data\VMware\* FindFirstFileEx: FileName = c:\Program Files\Common Files\VMware\Program FindFirstFileEx: FileName = c:\Program Files\Common Files\VMware\* FindFirstFileEx: FileName = c:\Program Files\Oracle\VirtualBox Guest Additions\Program FindFirstFileEx: FileName = c:\Program Files\Oracle\VirtualBox Guest Additions\* FindFirstFileEx: FileName = c:\Program Files\VMware\Program
行为描述：	杀掉进程
详情信息：	TASKKILL = taskkill /f /im explorer.exe C:\WINDOWS\explorer.exe

cloud01

，就算是HIPS，也很难防这种东西，不加启动，不加驱，不提权，不直接访问硬盘，直接删文件的最麻烦，但杀进程还是可以防的，eset HIPS里面有暂停或挂起进程，以及终止进程选项，还有对CMD和taskkill的调用可以拦截。噢，对了 ，ESET还有个拦截其他进程消息这个可以当做挂钩的第二重保护吧，全局挂钩和加驱在64位下废了。

cloud01

只要不装绿色软件，CMD完全可以禁止调用。

www-tekeze

，就一个. 发表于 2018-6-11 03:17
也不能这样说，趋势的AEGIS  G Data 的BB  还有最近迈克菲后出来的Real Protect 都属于智能主防，包括微 ...

看过了，应该说危险动作够多。。。
这个样本给火绒，暂时也只会拉黑，用主防分析行为的话估计难，有空在火绒发个贴，争取一下吧。。

www-tekeze

cloud01 发表于 2018-6-11 09:36
，就算是HIPS，也很难防这种东西，不加启动，不加驱，不提权，不直接访问硬盘，直接删文件的最麻烦，但杀进 ...

只要不装绿色软件，CMD完全可以禁止调用。

赞成！ 对火绒来说用HIPS还是很容易防的，比如加个3D规则或者是精钢盾规则，纯靠主防就比较难了。。。

PS：禁CMD也是个好办法。

，就一个.

hhjjjjjj123 发表于 2018-6-11 12:50
avg怎么样

AVG怎么样 你可以在虚拟机试一试

a445441

ericdj 发表于 2018-6-10 23:06
微点的主防可以拦截？

可以拦截的