123
返回列表 发新帖
楼主: anthonyqian
收起左侧

[分享] 现在给Symantec提交样本一旦确定有毒似乎都会收到一份详细调查报告(SCRIBE report)

[复制链接]
a27573
发表于 2021-11-7 00:40:11 | 显示全部楼层
本帖最后由 a27573 于 2021-11-7 00:46 编辑
anthonyqian 发表于 2021-11-7 00:13
笑死 有印象 哈哈,最近看到的贴子里面,说“我不在说谎”的人越来越多了。感觉他们管理员就一直怀疑用户 ...

关于那个补丁
KB5004237 Security Update Microsoft patched expired drives not to load

Expire PFX certificates Sign -> Sys Driver Load Error

Applied to the latest version of 21H1

Some company PFX certificate files such as TrustAsia, Nanjing, etc. are now unavailable

Only valid signature drives are now loaded

Looks like Microsoft is now trying to work on an anti-load patch with leaked certificates

之前被吊销证书的驱动照样能加载(这么大的问题几年不管?)


微软官方似乎有意回避这个信息(官网没细说,UC上有人发现了),应该是作为反击?(TrustAsia很早就被用烂了,Nanjing和之前的WHQL Rootkit有关)

所以当时我被怀疑也不全是对方的责任

但无论如何,这个测试足以证明ESET在反-反读取方面的无力

顺便@ANY.LNK @tdsskiller

ANY.LNK
发表于 2021-11-7 03:17:34 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-11-7 03:26 编辑

终于修复了?
但是其他的呢?
上海域连?浙江金华这些证书呢?
此外,有的驱动带sha-256有效签名不带WHQL签名也能加载
另一件事:微软拒绝为processhacker的新驱动签名,但目前最新正式版的驱动仍能在开启内核隔离的情况下加载,且这个过程中ASR规则警告阻止驱动加载,但驱动还是成功加载进了内核,并可以执行内核操作


总结一下以上的吧:修的还不彻底

评分

参与人数 1人气 +3 收起 理由
a27573 + 3

查看全部评分

love642108192
发表于 2021-11-7 12:32:33 | 显示全部楼层
a27573 发表于 2021-11-6 23:57
从咖啡转到ESET的我(中间短暂用过红伞,SEP,Comodo,WD和卡巴)

望眼欲穿盼回复,十次上报有 ...

来试试BD企业版,哈哈
Miostartos
发表于 2021-11-7 12:43:38 | 显示全部楼层
本帖最后由 Miostartos 于 2021-11-7 12:45 编辑

这个是自动机分析报告
我以前收到过好多次了,都是这个格式,完全没改过
翻了下邮箱,这个系统18年上线的,那会还是beta

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
anthonyqian
 楼主| 发表于 2021-11-7 13:06:44 | 显示全部楼层
Miostartos 发表于 2021-11-7 12:43
这个是自动机分析报告
我以前收到过好多次了,都是这个格式,完全没改过
翻了下邮箱,这个系统18年上线的 ...

我上报了几十次了,还没收到过 哈哈。

看起来应该是这个功能转正了。
Miostartos
发表于 2021-11-7 13:45:04 | 显示全部楼层
anthonyqian 发表于 2021-11-7 13:06
我上报了几十次了,还没收到过 哈哈。

看起来应该是这个功能转正了。

这功能19年就转正了啊
anthonyqian
 楼主| 发表于 2021-11-7 13:52:55 | 显示全部楼层
Miostartos 发表于 2021-11-7 13:45
这功能19年就转正了啊

正式出现在官方知识库的上报流程里面应该是在今年10月底。
ICzcz
发表于 2021-11-7 15:15:12 | 显示全部楼层
a27573 发表于 2021-11-6 23:57
从咖啡转到ESET的我(中间短暂用过红伞,SEP,Comodo,WD和卡巴)

望眼欲穿盼回复,十次上报有 ...

我也是因为之前和父母扯了好久的皮才买到的授权才留在E家的。。。

评分

参与人数 1人气 +1 收起 理由
a27573 + 1 我也是让父母买的

查看全部评分

anthonyqian
 楼主| 发表于 2021-11-8 22:14:59 | 显示全部楼层
今天又连续收到了一堆报告,挑了几个放在样本区了。

感觉分析报告应该是纳入铁壳一般的上报流程里面了。

目前看起来是确定为New Threat的样本才会收到报告。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 18:02 , Processed in 0.129330 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表