楼主: 温馨小屋
收起左侧

[讨论] 对于前几天看到的绕过自我保护方法的测试

  [复制链接]
zay365
头像被屏蔽
发表于 2020-2-24 09:10:01 | 显示全部楼层
漏洞驱动白利用防不住就算了,连r3攻击都防不住就说不过去了@lifan88
温馨小屋
头像被屏蔽
 楼主| 发表于 2020-2-24 09:43:44 | 显示全部楼层
Miostartos 发表于 2020-2-23 22:43
这玩意只要有PPL就是随便防。
只能说微软都给你喂嘴上了都不用,还能说啥呢。
PS.诺顿以前不支持PPL被搞 ...

诺顿两个进程都没PPL,能拿到NS进程句柄,但是注入操作会被杀掉





卡巴只有avp有PPL,但是没有PPL的avpui也做了处理,可以免疫注入



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
记录微笑
发表于 2020-2-24 09:59:35 | 显示全部楼层
McAfee ENS一般弄不死
因为他的Process Validation进程是PPL保护的,当其他进程被结束之后这个进程只要还在,就会立即尝试重启其他进程。上次遇到的那个ARK白利用把ENS按死之后这个进程一直后台待命,把被白利用的ARK关掉之后ENS就被拉起来了。

可能是为了稳定考虑,我记得咖啡个人版被结束会直接蓝屏
企稳向好
发表于 2020-2-24 10:06:49 | 显示全部楼层
本帖最后由 企稳向好 于 2020-2-24 10:14 编辑

BD那个官方论坛人气好像不太行,要反馈的话建议还是直接发邮件联系技术支持。不过BD技术支持的水平也是一言难尽,搞不好又是拿些客套话糊弄了事
BD系好像都在一些问题上特别顽固,像BD官方对驱动的态度,EMSI对PPL的态度,BG对引擎的态度,GD对勒索的态度。也不知道他们是真的对自己的产品过于自信,还是只是假装顽固掩盖自己研发上的薄弱
lifan88
发表于 2020-2-24 10:23:03 | 显示全部楼层
本帖最后由 lifan88 于 2020-2-24 10:43 编辑

人家不劫持你还是给面子的(历史版本漏洞警告)r3日人手段确实坑

还是,报毒不算能防住,你按着思路重写一个,加点料,还能扫出来就有鬼了

真正考验杀软还是要看面对未知攻击的反应
补充一个,能截断这种类似操作和重写的主防确实这个杀软做的厉害。。。HIPS手动控制除外
lifan88
发表于 2020-2-24 10:46:26 | 显示全部楼层
zay365 发表于 2020-2-24 09:10
漏洞驱动白利用防不住就算了,连r3攻击都防不住就说不过去了@lifan88

其实问题不大,就怕勒索硬盘锁给你来这手
HEMM
发表于 2020-2-24 11:52:44 | 显示全部楼层
温馨小屋 发表于 2020-2-24 09:43
诺顿两个进程都没PPL,能拿到NS进程句柄,但是注入操作会被杀掉

也试试BUG豆嘛~是不是瞧不起BUG豆啊?
这款安软真是.....
桑德尔
头像被屏蔽
发表于 2020-2-24 12:22:21 | 显示全部楼层
温馨小屋 发表于 2020-2-24 09:43
诺顿两个进程都没PPL,能拿到NS进程句柄,但是注入操作会被杀掉

保护ekrn和avp就对了,PPL保护不了UI进程,需要额外处理才能免疫这招
火绒工程师
发表于 2020-2-24 13:36:45 | 显示全部楼层
楼主您好,感谢测试,您反馈的问题已确认,火绒下个大版本升级后解决此问题,感谢您的反馈!
wohaofan1200
发表于 2020-2-24 15:48:42 | 显示全部楼层
B开头的在我心目中的高大形象破碎
PS:本来觉得他家不仅常规引擎做得牛,主防也先进得不行,现在看来也是不思进取
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 13:00 , Processed in 0.096552 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表