搜索
查看: 4021|回复: 30
收起左侧

[砖头] 更换vse6200引擎——我晕啊!

[复制链接]
柯林
发表于 2021-2-2 13:00:06 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2021-2-2 13:01 编辑

昨晚装的vse(P15),今早下了个病毒库升级包,装完,已经过了自动升级时间,查看自动更新失败,引擎还是6100
于是上网去下epo6200eng.zip,手动替换吧,还不行(关访问保护;禁用麦咖啡服务;禁用“禁止修改 McAfee 扫描引擎文件和设置”,都没用)

一个不爽,直接上“终极手段”,进PE系统去替换,开机后一看,32位引擎是6200了,64位引擎还是6100
这什么意思嘛?控制台新建一个镜像任务,指向存放epo6200eng.zip的位置,执行“立即镜像”,“失败”,把epo6200eng.zip解压出来,再次执行“立即镜像”,还是显示”更新失败“……然后,打开vse信息一看,64位引擎已经变成6200,这....
av_lab
发表于 2021-2-2 13:12:23 | 显示全部楼层
我的手动替换后,再点击更新,就都是6200的了
柯林
 楼主| 发表于 2021-2-2 13:15:12 | 显示全部楼层
av_lab 发表于 2021-2-2 13:12
我的手动替换后,再点击更新,就都是6200的了

我开机后,点过更新(2次),64位引擎还是6100,就那么乱弄一下,过了一两分钟,就变成6400了,不知道是自动更新的功劳,还是它自己调整需要个时间,没明白。已经6200了,就遂愿了
av_lab
发表于 2021-2-2 13:26:11 | 显示全部楼层
柯林 发表于 2021-2-2 13:15
我开机后,点过更新(2次),64位引擎还是6100,就那么乱弄一下,过了一两分钟,就变成6400了,不知道是 ...

你最近研究的防badusb,有效果没?
ees_ly
发表于 2021-2-2 13:36:44 | 显示全部楼层
升级后,64位的Engine版本号变化一直32位的慢,我多年来发现一直这样。
柯林
 楼主| 发表于 2021-2-2 14:30:45 | 显示全部楼层
本帖最后由 柯林 于 2021-2-2 14:35 编辑
av_lab 发表于 2021-2-2 13:26
你最近研究的防badusb,有效果没?

谈不上研究,只是偶尔兴起,关注下,我手头没有badusb的东东,懒得去淘宝买一个

只是看网上流传的那些教程,了解一点皮毛。以那些资料来说,流行的套路是--隐藏的代码,模仿人手键盘输入,”按下win+R“键,调出运行框,模仿输入cmd,然后再执行powershell(用这个据说是容易过)去下载恶意的ps1脚本来执行……以这种”流行方式“来说,可以防御的手段太多了:
禁止powershell之类联网,不就没有然后了
禁止powershell之类执行?:\USERS\*,如果它下到用户路径的Temp里执行,也无法操作(下到桌面、我的文档之类,也是不行的)
禁止创建ps1文件,前面一大串动作都白搭
如果它是设定下载ps1到用户路径下的Temp里执行,勾选自带规则”防间谍最大保护-禁止所有程序从 Temp 文件夹运行文件“那它也运行不了,也没有然后了(这一条影响程序安装,甚至是系统更新,要用的话,需要合理排除,调整--自己安装程序时临时禁用);如果它下载到别的地方,譬如D盘或者windows里,这样就没用
如果没有提权操作,它模仿人打开运行框,输入cmd,使用的是当前用户的权限,禁止explorer执行cmd,应该也动弹不了(自己要用cmd,需要右键”以管理员身份执行“)
据说一些企业级的防护手段,有一种变态迂回的做法,是”禁用win建“,那它用不了”win+R“的组合法,后面也就没有了
不知道它powershell的攻击方式究竟怎么演变,如果是以powershell调用ie或者svchost去联网下载ps1来执行,禁止powershell联网的方法就被”绕过“,禁止创建ps1的方法依然有效

以上都是纯粹从规则防御的角度而言,至于麦咖啡本身,云和扫描引擎能认出多少恶意ps1脚本,能够在无须用户干预和添加规则的情况下杀掉,这就不清楚了
至于会不会演变出更厉害的攻击方法,这个不清楚;以目前接触到的网传资料,基本套路就是cmd启动powershell去下编好的ps1脚本来执行,这个并不难防御,无须动用到设备防御方面,简单的防毒规则就能做到(按网上的说法,之所以用ps1的方法,是这东西容易绕过系统,据说powershell是一个系统功能组件,并不仅仅是powershell.exe,具体的没实物,我也不清楚。看谁有实物,贴个实验结果再说)
av_lab
发表于 2021-2-2 15:11:50 | 显示全部楼层
柯林 发表于 2021-2-2 14:30
谈不上研究,只是偶尔兴起,关注下,我手头没有badusb的东东,懒得去淘宝买一个

只是看网上流传的那些 ...

对于powershell,我有一些浅显的理解,基本都是调用System.Management.Automation.dll,我规则设置禁读和执行,也许可以防住大部分。
至于那些自写相同功能函数的dll,或者改一个名字,就无效了。
毕竟VSE不能从用户角度自定义检测代码相似性。

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 很有启发的思路

查看全部评分

柯林
 楼主| 发表于 2021-2-2 18:21:49 | 显示全部楼层
av_lab 发表于 2021-2-2 15:11
对于powershell,我有一些浅显的理解,基本都是调用System.Management.Automation.dll,我规则设置禁读和 ...

这个值得借鉴。这些具体的执行者,以前还没注意过。
网上有篇帖子说的有些意思:https://www.anquanke.com/post/id/92635
ly910326
发表于 2021-2-2 19:46:54 | 显示全部楼层


一般当移动设备接入时,禁止autorun或者autoplayer的运行,是不是就可以避免受到badusb的动作。
av_lab
发表于 2021-2-2 19:54:09 | 显示全部楼层
柯林 发表于 2021-2-2 18:21
这个值得借鉴。这些具体的执行者,以前还没注意过。
网上有篇帖子说的有些意思:https://www.anquanke.c ...

感谢分享,这篇文章我之前看过了。
这个就相当于“自写相同功能函数的dll”,对于这种,我有一个未经实践的想法,使用yara规则或其他同类型工具检测相似性,然后自动化拉黑(类似杀毒软件启发式扫描)。
不过我代码水平太垃圾,又不想花太多时间弄这个,所以期待有大神可以解决。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-4-18 05:07 , Processed in 0.128904 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表