更换vse6200引擎——我晕啊！

显示全部楼层 · 发表于 2021-2-2 13:00:06

本帖最后由柯林于 2021-2-2 13:01 编辑

昨晚装的vse（P15)，今早下了个病毒库升级包，装完，已经过了自动升级时间，查看自动更新失败，引擎还是6100
于是上网去下epo6200eng.zip，手动替换吧，还不行（关访问保护；禁用麦咖啡服务；禁用“禁止修改 McAfee 扫描引擎文件和设置”，都没用）

一个不爽，直接上“终极手段”，进PE系统去替换，开机后一看，32位引擎是6200了，64位引擎还是6100

这什么意思嘛？控制台新建一个镜像任务，指向存放epo6200eng.zip的位置，执行“立即镜像”，“失败”，把epo6200eng.zip解压出来，再次执行“立即镜像”，还是显示”更新失败“……然后，打开vse信息一看，64位引擎已经变成6200，这....

显示全部楼层 · 发表于 2021-2-2 13:12:23

我的手动替换后，再点击更新，就都是6200的了

显示全部楼层 · 发表于 2021-2-2 13:15:12

av_lab 发表于 2021-2-2 13:12
我的手动替换后，再点击更新，就都是6200的了

我开机后，点过更新（2次），64位引擎还是6100，就那么乱弄一下，过了一两分钟，就变成6400了，不知道是自动更新的功劳，还是它自己调整需要个时间，没明白。已经6200了，就遂愿了

显示全部楼层 · 发表于 2021-2-2 13:26:11

柯林发表于 2021-2-2 13:15
我开机后，点过更新（2次），64位引擎还是6100，就那么乱弄一下，过了一两分钟，就变成6400了，不知道是 ...

你最近研究的防badusb，有效果没？

显示全部楼层 · 发表于 2021-2-2 13:36:44

升级后，64位的Engine版本号变化一直32位的慢，我多年来发现一直这样。

显示全部楼层 · 发表于 2021-2-2 14:30:45

本帖最后由柯林于 2021-2-2 14:35 编辑

av_lab 发表于 2021-2-2 13:26
你最近研究的防badusb，有效果没？

谈不上研究，只是偶尔兴起，关注下，我手头没有badusb的东东，懒得去淘宝买一个

只是看网上流传的那些教程，了解一点皮毛。以那些资料来说，流行的套路是--隐藏的代码，模仿人手键盘输入，”按下win+R“键，调出运行框，模仿输入cmd，然后再执行powershell（用这个据说是容易过）去下载恶意的ps1脚本来执行……以这种”流行方式“来说，可以防御的手段太多了：
禁止powershell之类联网，不就没有然后了
禁止powershell之类执行?:\USERS\*，如果它下到用户路径的Temp里执行，也无法操作（下到桌面、我的文档之类，也是不行的）
禁止创建ps1文件，前面一大串动作都白搭
如果它是设定下载ps1到用户路径下的Temp里执行，勾选自带规则”防间谍最大保护-禁止所有程序从 Temp 文件夹运行文件“那它也运行不了，也没有然后了（这一条影响程序安装，甚至是系统更新，要用的话，需要合理排除，调整--自己安装程序时临时禁用）；如果它下载到别的地方，譬如D盘或者windows里，这样就没用
如果没有提权操作，它模仿人打开运行框，输入cmd，使用的是当前用户的权限，禁止explorer执行cmd，应该也动弹不了（自己要用cmd，需要右键”以管理员身份执行“）
据说一些企业级的防护手段，有一种变态迂回的做法，是”禁用win建“，那它用不了”win+R“的组合法，后面也就没有了
不知道它powershell的攻击方式究竟怎么演变，如果是以powershell调用ie或者svchost去联网下载ps1来执行，禁止powershell联网的方法就被”绕过“，禁止创建ps1的方法依然有效

以上都是纯粹从规则防御的角度而言，至于麦咖啡本身，云和扫描引擎能认出多少恶意ps1脚本，能够在无须用户干预和添加规则的情况下杀掉，这就不清楚了
至于会不会演变出更厉害的攻击方法，这个不清楚；以目前接触到的网传资料，基本套路就是cmd启动powershell去下编好的ps1脚本来执行，这个并不难防御，无须动用到设备防御方面，简单的防毒规则就能做到（按网上的说法，之所以用ps1的方法，是这东西容易绕过系统，据说powershell是一个系统功能组件，并不仅仅是powershell.exe，具体的没实物，我也不清楚。看谁有实物，贴个实验结果再说）

显示全部楼层 · 发表于 2021-2-2 15:11:50

柯林发表于 2021-2-2 14:30
谈不上研究，只是偶尔兴起，关注下，我手头没有badusb的东东，懒得去淘宝买一个

只是看网上流传的那些 ...

对于powershell，我有一些浅显的理解，基本都是调用System.Management.Automation.dll，我规则设置禁读和执行，也许可以防住大部分。
至于那些自写相同功能函数的dll，或者改一个名字，就无效了。
毕竟VSE不能从用户角度自定义检测代码相似性。

显示全部楼层 · 发表于 2021-2-2 18:21:49

av_lab 发表于 2021-2-2 15:11
对于powershell，我有一些浅显的理解，基本都是调用System.Management.Automation.dll，我规则设置禁读和 ...

这个值得借鉴。这些具体的执行者，以前还没注意过。
网上有篇帖子说的有些意思：https://www.anquanke.com/post/id/92635

显示全部楼层 · 发表于 2021-2-2 19:46:54

一般当移动设备接入时，禁止autorun或者autoplayer的运行，是不是就可以避免受到badusb的动作。

显示全部楼层 · 发表于 2021-2-2 19:54:09

柯林发表于 2021-2-2 18:21
这个值得借鉴。这些具体的执行者，以前还没注意过。
网上有篇帖子说的有些意思：https://www.anquanke.c ...

感谢分享，这篇文章我之前看过了。
这个就相当于“自写相同功能函数的dll”，对于这种，我有一个未经实践的想法，使用yara规则或其他同类型工具检测相似性，然后自动化拉黑（类似杀毒软件启发式扫描）。
不过我代码水平太垃圾，又不想花太多时间弄这个，所以期待有大神可以解决。

[砖头] 更换vse6200引擎——我晕啊！

评分