楼主: cloaker
收起左侧

[其他相关] WannaRen在虚拟机中成功运行的方法

  [复制链接]
a27573
发表于 2020-4-10 18:35:53 | 显示全部楼层
病毒探索者 发表于 2020-4-10 18:32
OSA似乎是漏洞利用拦截
那ESET为什么没拦?有点失望啊。。。

不是漏洞利用
OSA是拦了winword的命令行
HMPA是拦了加载dll
病毒探索者
发表于 2020-4-10 18:36:28 | 显示全部楼层
驭龙 发表于 2020-4-10 18:33
没听说这是漏洞利用啊?我最近没有关照这病毒,不清楚

我是看小东西OSA拦截的规则的,反Word漏洞利用(好像是),可以看前面我测的OSA
好吧,也许是我错了...
病毒探索者
发表于 2020-4-10 18:38:50 | 显示全部楼层
a27573 发表于 2020-4-10 18:35
不是漏洞利用
OSA是拦了winword的命令行
HMPA是拦了加载dll

那请问“Anti Exploit Microsoft Word”怎么理解呢?
a27573
发表于 2020-4-10 18:40:42 | 显示全部楼层
病毒探索者 发表于 2020-4-10 18:36
我是看小东西OSA拦截的规则的,反Word漏洞利用(好像是),可以看前面我测的OSA
好吧,也许是我错了...
...

这个不算漏洞利用,但可以做到 漏洞利用可以做到的事

其实ESET的漏洞利用防护防的是文档的漏洞利用,不防其他文件夹下的白加黑
病毒探索者
发表于 2020-4-10 18:41:56 | 显示全部楼层
a27573 发表于 2020-4-10 18:40
这个不算漏洞利用,但可以做到 漏洞利用可以做到的事

其实ESET的漏洞利用防护防的是文档的漏洞利用, ...

了解了,
看来白加黑这种还是很难拦截啊...
a27573
发表于 2020-4-10 18:44:12 | 显示全部楼层
本帖最后由 a27573 于 2020-4-10 18:46 编辑
病毒探索者 发表于 2020-4-10 18:38
那请问“Anti Exploit Microsoft Word”怎么理解呢?

这条OSA规则是阻止任何winword.exe调用的命令行,是有道理的
但这个winword.exe不在平常的位置(Program Files里面),而且是白加黑,不是一般意义上的文档漏洞利用,ESET的漏洞利用阻止程序没有被设计用来防止这种情况

可惜ESET的HIPS不支持通配符,否则可以自己添加规则实现(但还是可以通过改名等方式绕过)

K560987
发表于 2020-4-10 18:49:54 | 显示全部楼层
a27573 发表于 2020-4-10 18:44
这条OSA规则是阻止任何winword.exe调用的命令行,是有道理的
但这个winword.exe不在平常的位置(Program ...

其实手动查看还是可以防住的,这个word的签名07年就过期了
a27573
发表于 2020-4-10 18:57:20 | 显示全部楼层
K560987 发表于 2020-4-10 18:49
其实手动查看还是可以防住的,这个word的签名07年就过期了

这里是你自己手动运行的,但真实中招是脚本安排的
K560987
发表于 2020-4-10 19:00:24 | 显示全部楼层
a27573 发表于 2020-4-10 18:57
这里是你自己手动运行的,但真实中招是脚本安排的

有道理
hup
发表于 2020-4-10 20:27:33 | 显示全部楼层
微点2月毒库,全程无提示,成功加密

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 12:27 , Processed in 0.087002 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表