样本集奉上_19

BeatTrojan

pal家族 发表于 2018-7-12 17:52
我感觉新的卡饭圣经已经诞生了

您好，无文件一般有这六种方式:

1. Classic memory injection 常规注入(CreateRemoteThread, OpenProcess, VirtualAllocEx, WriteProcessMemory)。

2. Reflective DLLs 反射型DLL注入。

3. Memory module 内存模块。（和反射注入类似，区别在于LOADER完成了所有工作，重新实现了LoadLibrary, 直接加载内存中的DLL)

4. Process and module hollowing 进程挖空 (创建进程，挂起进程，将进程代码替换为恶意代码，恢复执行. 模块挖空更难检测，它首先会map一个不被使用的DLL到目标进程，然后将模块代码替换为恶意代码让目标进程加载，典型利用家族为Flame and Careto)

5. Gargoyle 内存扫描逃逸 (代码存放在内存的只读区且休眠，根据设定定期移动自己到可执行区执行)

6. PowerShell (PowerShell可直接加载.Net代码到内存中执行).

这里面的每一种攻击我们都研究过。并放在了计划中，其实根据我们测试，某些国外大厂对fileless malware也没有什么抵抗力。所以才会有Endgame, Cylance, CrowdStrike之类的新兴厂商。智量还年轻，我们会努力给用户提供优质的安全软件。

Jerry.Lin

BeatTrojan 发表于 2018-7-12 18:03
您好，无文件一般有这六种方式:

1. Classic memory injection 常规注入(CreateRemoteThread, OpenProc ...

HitmanPro.Alert 有，你们应该学学




也不至于大厂都没有吧

===============
顺便回下上面的我的贴

pal家族

BeatTrojan 发表于 2018-7-12 18:03
您好，无文件一般有这六种方式:

1. Classic memory injection 常规注入(CreateRemoteThread, OpenProc ...

那我可得怀着无限憧憬啦！
不过我是实在不清楚你们这些厂商总是有奇奇怪怪的言论。。。。。明明可以直接一句“以后会完善的、、”非要强行解释没必要吧。。。

BeatTrojan

191196846 发表于 2018-7-12 18:05
HitmanPro.Alert 有，你们应该学学

虽然没研究过HitmanPro.Alert, 但其实很多软件就是HOOK API，用行为来解决这些问题。

但是我们想做到更智能，更少打扰到用户.  所以要做的工作还相当多.

感谢您的建议.

www-tekeze

pal家族 发表于 2018-7-12 17:17
卡巴剩余4x

感谢pal大参加。。。厉害了，很多都是机器学习。。。印象里火绒没杀的是12、22、44、46，只有一个不相同，这几个是文件受损运行不了么？ 等晚上双击试试。。

www-tekeze

dolphin 发表于 2018-7-12 17:25
费尔扫描0
双击全报危险程序

楼上卡巴不报的那4个，双击也被拦截了？  

www-tekeze

智量官方 发表于 2018-7-12 17:49
您好，感谢关注智量。智量目前并不对JS,VBS脚本文件做静态扫描。因为在整个攻击链环节中脚本文件基本是最 ...

感谢官人回复！ 明白智量全miss的原因了，估计安天也是差不多的原因吧。。。
还是希望完善产品，您看5楼的卡巴，一多半都是机器学习报的，智量也是主打AL的哦。。

Jerry.Lin

BeatTrojan 发表于 2018-7-12 18:10
虽然没研究过HitmanPro.Alert, 但其实很多软件就是HOOK API，用行为来解决这些问题。

但是我们想做到 ...

你还没回答这个问题呢

目前你们的驱动有通过微软认证WHDL的兼容性认证驱动程序吗？

Picca

191196846 发表于 2018-7-12 18:05
HitmanPro.Alert 有，你们应该学学

这是别人的看家本领，卖的比安软还贵，你要一个刚成立的公司去学是不是难度太大了

Jerry.Lin

Karna 发表于 2018-7-12 18:39
这是别人的看家本领，卖的比安软还贵，你要一个刚成立的公司去学是不是难度太大了

期望能做到这样

HitmanPro确实是靠这个吃饭的