搜索
楼主: B100D1E55
收起左侧

[分享] ESET勒索防御测试

  [复制链接]
B100D1E55
 楼主| 发表于 2021-7-19 07:14:43 | 显示全部楼层
本帖最后由 B100D1E55 于 2021-7-19 07:22 编辑
InnoriaAlter 发表于 2021-7-17 14:46
啊 好东西~~先插眼

话说试一下自制勒索的或者java系等等小众的勒索看看?

个人观察是行为不大合格的勒索查杀率不高,比如直接删文件、直接重命名那种……这里我把它排除在真正的勒索之外

我猜测光检测批量删除/重命名误报风险太大。对于前者,随便一个程序比如Uplay,启动的时候都会批量删除一些文件。可以想象如果Uplay更新后信誉库无记录的情况下检测到my document部分文件被删除,这时候简单隔离可就出问题了……对于后者,用户自己重命名文件的操作也很常见,比如遇到小众的批量重命名小工具怎么办?所以要结合其他行为特征综合判断。真是只有删除、重命名的话文件恢复也很简单。
InnoriaAlter
头像被屏蔽
发表于 2021-7-19 08:50:07 来自手机 | 显示全部楼层
本帖最后由 InnoriaAlter 于 2021-7-24 08:35 编辑
B100D1E55 发表于 2021-7-19 07:14
个人观察是行为不大合格的勒索查杀率不高,比如直接删文件、直接重命名那种……这里我把它排除在真正的勒 ...

嗯嗯...原来如此啊~
想到上半年有位大佬整了个自制勒索测验,然后eset毫无意外的哑火了,然后又遇上某人一阵挑刺...
B100D1E55
 楼主| 发表于 2021-7-19 09:58:08 | 显示全部楼层
本帖最后由 B100D1E55 于 2021-7-19 10:20 编辑
InnoriaAlter 发表于 2021-7-19 08:50
嗯嗯...原来如此啊~
想到上半年有位大佬整了个自制勒索测验,按照他说的,勒索用java写,动作很 ...

主要还是看现实世界真实威胁的应对效果。我个人觉得ESET这套可能是扮猪吃虎,故意让人觉得防御弱鸡,实际真要传播起来防御率应该还是可以的。
但是过分依赖信誉云的确是个问题,我觉得这里面有漏洞可钻……java之类的我以后有空测测看

评分

参与人数 1人气 +2 收起 理由
InnoriaAlter + 2 感谢解答: )

查看全部评分

InnoriaAlter
头像被屏蔽
发表于 2021-7-19 10:23:02 | 显示全部楼层
B100D1E55 发表于 2021-7-19 09:58
主要还是看现实世界真实威胁的应对效果。我个人觉得ESET这套可能是扮猪吃虎,故意让人觉得防御弱鸡,实际 ...

噢噢,意思是勒索测试还有续集是吗~那我期待一下
谢谢大佬解惑
StevenCheong55
发表于 2021-7-19 19:06:55 | 显示全部楼层
有考慮測ESET的機學引擎嗎
B100D1E55
 楼主| 发表于 2021-7-21 06:27:36 | 显示全部楼层
InnoriaAlter 发表于 2021-7-19 10:23
噢噢,意思是勒索测试还有续集是吗~那我期待一下
谢谢大佬解惑

不一定有时间搞,不要过于期待哦
B100D1E55
 楼主| 发表于 2021-7-21 06:31:00 | 显示全部楼层
StevenCheong55 发表于 2021-7-19 19:06
有考慮測ESET的機學引擎嗎

ESET机学测试被我归类在“很想测试但是条件还不成熟”的类别内,主要因为构造样本比较麻烦又可能有玄学成分。按照优先级排列下一个应该是测试DBI或者勒索防御第二集,不过不保证有时间做
InnoriaAlter
头像被屏蔽
发表于 2021-7-21 09:46:19 来自手机 | 显示全部楼层
B100D1E55 发表于 2021-7-21 06:27
不一定有时间搞,不要过于期待哦

昨晚样本有一个自制样本eset翻车了噢......下次可能需要试着测小众病毒一类的防御效果了

今年以内更新应该可以吧?
B100D1E55
 楼主| 发表于 2021-7-21 09:58:42 | 显示全部楼层
InnoriaAlter 发表于 2021-7-21 09:46
昨晚样本有一个自制样本eset翻车了噢......下次可能需要试着测小众病毒一类的防御效果了
...

你是说这个? https://bbs.kafan.cn/thread-2212933-1-1.html

这个的话见74楼

填坑时间不保证,主要看工作忙不忙
StevenCheong55
发表于 2021-7-21 11:50:21 | 显示全部楼层
B100D1E55 发表于 2021-7-21 06:31
ESET机学测试被我归类在“很想测试但是条件还不成熟”的类别内,主要因为构造样本比较麻烦又可能有玄学成 ...

真的摸不清Angur的报毒机制,而且为什么勒索防御,DBI不反应,应该两者都要起作用才对
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-9-21 10:08 , Processed in 0.101419 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表