MBRlock #packed VT首次扫描:16/68

761773275

EMSI 主防杀

swizzer

00006666 发表于 2021-8-19 22:03
emmm如果是新样本没有入库的，主防不就没有反应了………

要说的话主防模型也是需要更新的我不确定智量识别DiskWriter时是否也将写入扇区的数据投喂给了模型，如果是这样的话被过也不算太出乎意料···
而且智量主防的拦截有过很多次因系统而异的情况···你在这个样本上就看到了MBRWriter和DiskWriter两种报法，以前还有一个机器上报Ransom另一个上面报PEObfuscator的......也许在Win7 上没发挥全部功力？也未可知···


而且如果我没记错，以前智量从2.5升到2.7时，这个识别DiskWriter的模型还短暂失效过（似乎是模型训练时有失误），后来更新了主防模型才OK



不过至于你说的没入库主防就没反应······只能说这个帖子里的样本是特殊情况吧。。从你的测试来看这个样本甚至没有触发智量的单步HIPS
按我以往的经验，我锁库用MBRLocker测试智量时只遇到过一次没有成功防御，（似乎是因为那个样本使用了NtWriteFile而没有直接访问磁盘）


我也很想知道这个帖子里的样本是为何绕过了智量的防御（也许正如我在上面猜测的那样？）@智量官方

智量官方

swizzer 发表于 2021-8-20 08:37
要说的话主防模型也是需要更新的我不确定智量识别DiskWriter时是否也将写入扇区的数据投喂给了模型 ...

感谢楼上各位同学的测试, 这个样本在Win10和Win7的作用是一样的，没有在什么系统下才发作的问题.
经测试是智量3.01 Beta版有一个BUG，会导致MBR防护在某些条件下失效，2.73没有这个问题，所以未入库也可以拦截。
另外我们没有见过MBRLocker没有成功防御的情况, 智量防护MBR写入是在驱动层拦截，所以它即使使用NtWriteFile也可以防范的. 我们已经在3.02版中修复了此问题.

00006666

2021/8/20   13:26更新

火绒扫描MISS    虚拟机双击测试：  防御失败


测试全过程的录屏已经上传网盘

https://pan.baidu.com/s/1bzpYOGGRZYeTx8nT_tthjA       提取码:qa2u

wwwab

00006666 发表于 2021-8-20 13:30
2021/8/20   13:26更新

火绒扫描MISS    虚拟机双击测试：  防御失败

火绒mbr防护要重启两次

swizzer

智量官方 发表于 2021-8-20 10:14
感谢楼上各位同学的测试, 这个样本在Win10和Win7的作用是一样的，没有在什么系统下才发作的问题.
经测试 ...

感谢解答~~

(其实那个没防御成功的我向官人反馈过，后来就可以完美拦截了)