#PACKAGE 0726

ccboxes

B100D1E55 发表于 2018-7-26 21:15
刚才发现更新了，扫描了一下漏下了1，10，11
双击后1的衍生物被查杀，其实算很不错的成绩了，特别是比某 ...

越早拦截越好，但带回滚的执行后方法依然十分有竞争力，特别是考虑到出众的性能表现和前瞻性（尤其是行为防御）。

不过像Avast、红伞、WD带的即时上传扫描可以说是崭新的路数了，我觉得很有发展前途，控制在30秒之内大部分用户都能接受。

挥泪斩情思

dr.web   20   21   我也不懂怎么算。。。

自己看图吧

ccboxes

挥泪斩情思 发表于 2018-7-26 22:46
dr.web   20   21   我也不懂怎么算。。。

自己看图吧

老样子，写作“预防性保护”读作“注入检测器”。

Tom179090

NS     22：31。  右键扫描，剩余9,10，15，17。扫描检测率：22/26≈ 84%双击后，剩余9,10,15 总检测率：23/26≈88.5%
9，双击后过SONAR，，调用CMD，，疑似office被删除？？？
文件名: 0726(9).exe
完整路径: G:\样本\PACKAGE 0726\0726(9).exe

____________________________

____________________________


开发人员
不可用

版本
2.0.0.0

已识别
2018/7/26 ( 22:35:55 )

上次使用时间
2018/7/26 ( 22:39:59 )

启动项
否


____________________________


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

未知
有关此文件的信息不足，无法推荐它。


____________________________


源文件:
360zip.exe

创建的文件:
0726(9).exe

____________________________

性能

____________________________

平均资源使用率: 低
平均 CPU 使用率: 低
平均内存使用率: 低

____________________________

性能警报

进程 ID
15732

CPU
正常

内存
正常

句柄计数
正常

磁盘读取活动
正常

磁盘写入活动
正常

____________________________

系统更改

c:\users\tom-w\appdata\local\temp\721a.tmp
c:\users\tom-w\appdata\local\temp\721a.tmp\run.cmd
c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\autorun.bat
c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\autorun.bat
c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\autorun.exe
c:\users\tom-w\appdata\local\temp\609.tmp
c:\users\tom-w\appdata\local\temp\609.tmp\run.cmd
c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\autorun.bat
c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\autorun.bat
c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\autorun.bat
c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\autorun.exe
c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\autorun.exe
____________________________


文件指纹 - SHA:
2a6e2b6dacafbe1da928ba52b6acf852261900e6810d71c942c64a17552a9ce9
文件指纹 - MD5:
517e4b018c9cb11403a0d0c301fa8ed8


10，双击后过SONAR【弹出错误框，好像没成功运行】
15，双击过SONAR,,指针一直闪烁。
17 SONAR杀。

文件名: 0726(17).exe
威胁名称: SONAR.SuspLaunch!g12完整路径: 不可用

____________________________

____________________________


在电脑上
2018/7/26 ( 22:52:22 )

上次使用时间
2018/7/26 ( 22:52:22 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0726(17).exe 威胁名称: SONAR.SuspLaunch!g12
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip.exe

创建的文件:
0726(17).exe

____________________________

文件操作

文件: g:\样本\package 0726\ 0726(17).exe 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ formicarium.dll 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ rosefish.bin 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ mrpe14zd_bigger.jpg 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ xmdrzy-l_bigger.jpg 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ mjgrc7_e_bigger.jpg 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ movies.jpg 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ f(2).txt 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ gf_forums_icon_50x50_1.png 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ xcn1lrug_bigger.jpg 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ yyripkma_bigger.jpg 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ z7esxbt-_bigger.jpg 威胁已删除
目录: c:\Users\tom-w\AppData\Local\Temp\ nsl131A.tmp 需要重新启动
____________________________

系统设置操作

事件: 进程启动 (执行者 g:\样本\package 0726\0726(17).exe, PID:302240) 未采取操作
(执行者 g:\样本\package 0726\0726(17).exe, PID:302240) 未采取操作
事件: PE 文件创建: c:\Users\tom-w\AppData\Local\Temp\nsl131A.tmp\ System.dll (执行者 g:\样本\package 0726\0726(17).exe, PID:302240) 未采取操作
事件: PE 文件创建: c:\users\tom-w\appdata\local\temp\ formicarium.dll (执行者 g:\样本\package 0726\0726(17).exe, PID:302240) 未采取操作
事件: 进程启动: g:\样本\package 0726\ 0726(17).exe, PID:302492 (执行者 g:\样本\package 0726\0726(17).exe, PID:302240) 未采取操作
事件: 进程启动: g:\样本\package 0726\ 0726(17).exe, PID:302240 (执行者 g:\样本\package 0726\0726(17).exe, PID:302240) 未采取操作
事件: 进程启动: g:\样本\package 0726\ 0726(17).exe, PID:302492 (执行者 g:\样本\package 0726\0726(17).exe, PID:302492) 未采取操作
____________________________

可疑操作

(执行者 g:\样本\package 0726\0726(17).exe, PID:302240) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

Picca

B100D1E55 发表于 2018-7-26 21:15
刚才发现更新了，扫描了一下漏下了1，10，11
双击后1的衍生物被查杀，其实算很不错的成绩了，特别是比某 ...

卡巴 在某乎上曾经看到说有R3下就能打崩卡巴的代码，看过一个报告http://news.secwk.com/article/ne ... ?sideActiveTab=fast，个人对于卡巴执行后监控的策略还是有点虚的，说的是多层防御，但测的时候往往都是主防在发威，关键是主防太能忍了，有的已经云入库的毒，在测试中外联上传了几百k的数据了都不管，那个md5云拉黑也是一言难尽。。。

B100D1E55

Karna 发表于 2018-7-27 00:39
卡巴 在某乎上曾经看到说有R3下就能打崩卡巴的代码，看过一个报告http://news.secwk.com/article/n ...

对，虽然多层防御很重要，但并不是任意一层能拦截都是等效的。最佳情况是下载前就阻挡（比如URL拉黑），这样黑客下载服务器都不会留下用户IP记录；运行前查杀/封闭式沙盘也比较安全，除非特殊漏洞能导致不执行就感染或者扫描引擎漏洞。而主防特别是多步主防虽然可能能杀，但一些情况下在关键行为之后才马后炮，比如敏感数据外连，这对企业用户来说有时候非常致命。打分制的行为防御都是这样，必须实机展开足够的行为才能触发阈值，但谁也不能保证触发阈值前的行为会不会逃逸，回滚局限性也很大。更不用说恶意程序进入执行环节后针对性对抗某个杀软的行为监控或者社工提权进R0之类的情况，这类威胁只能靠前期杀，后期只能指望急救箱。

这个道理很显而易见，但普通测试者很难细致到这个层次往往觉得觉得最后能杀就行，也没能力分析到底杀了之后残留了什么已经泄露了什么……

B100D1E55

ccboxes 发表于 2018-7-26 22:35
越早拦截越好，但带回滚的执行后方法依然十分有竞争力，特别是考虑到出众的性能表现和前瞻性（尤其是行为 ...

竞争力肯定是有，不过回滚之类的都有局限性，而网络行为也无法回滚，所以能早防则早防。我个人觉得刻意弱化前置防御点转为后续防线解决其实挺危险的。双A和WD那种倒是很不错，ESET也在往这个方向走

Picca

B100D1E55 发表于 2018-7-27 01:08
对，虽然多层防御很重要，但并不是任意一层能拦截都是等效的。最佳情况是下载前就阻挡（比如URL拉黑）， ...

最后那个我觉得可能测试机构可能都难以做到，就我测试的情况来看，我对于SW的反泄露能力是深表怀疑的，总不会卡巴还指望用户搭配个DLP吧  看的多了，感觉杀软防御再多也就一层套，不能没有，但穿没穿谁都不清楚。要想安全，还是得从环境隔离下手

上上谦

等下下载测测

540923555

B100D1E55 发表于 2018-7-26 21:15
刚才发现更新了，扫描了一下漏下了1，10，11
双击后1的衍生物被查杀，其实算很不错的成绩了，特别是比某 ...

我刚测的WD 1804。。。怎么跟你差好多啊，才干掉10个。。。。。我是纯右键扫，没有监控，有好几个CL杀的，网络应该没抽风啊。。。

我擦，打开实时监控，重新测，两份均删除12。。开不开监控竟然影响扫描成绩，WD也真是醉了

@191196846