#Fakeinstaller #Remcos (2021-12-20)

Jirehlov1234

https://jirehlov.lanzouv.com/ikmel009s0fi
https://www.virustotal.com/gui/f ... b469919f778/details

上一集：https://bbs.kafan.cn/thread-2226605-1-1.html

761773275

SOPHOS XDR 主防杀





杀伤链来了

Solomondemeter

eset miss

swizzer

ESET双击杀

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2022/2/18 16:50:43;文件系统实时防护;文件;C:\Users\ASUS\AppData\Roaming\Plex, Inc\Plex Media Server DLNA\libgeo-2.0.dll;Win32/Agent.ADVE 特洛伊木马 的变量;已通过删除清除;LAPTOP-HBO356CH\ASUS;在通过应用程序创建的新文件上发生了事件: C:\Windows\System32\msiexec.exe (5D6102F5A170E982C7735BFC2B9C1A0A0D435FD1).;C9DA19E2E2E71AE638F3D0B50EE53136E8EAD0C4;2021/12/17 19:02:52
   

复制代码

ESET又一次拦截不完全，智量补杀衍生物

anthonyqian

F-S missed

Hacker-云

仅扫描

pal家族

骚护士XDR是不是就是hitmanpro的主防？

swizzer

FSP

双击miss

761773275

pal家族 发表于 2022-2-18 17:02
骚护士XDR是不是就是hitmanpro的主防？

双主防，HPMA和一个自研的主防，据我双击的经验，感觉主要杀窃取数据之类的，对MBR，勒索这种不感冒

官方介绍：
作为读写扫描的一部分 Sophos Behavior Monitoring 保护Windows 计算机免遭未被识别的或“零
天”安全隐患 以及可疑行为的威胁。
运行时检测可以中止那些在执行前无法检测到的安全隐患。行为监控使用以下的运行时检测的
方法中止安全隐患
■ 恶意和可疑行为检测
■ 缓冲区溢出检测
恶意和可疑行为检测
可疑行为检测 通过 Sophos 的主机入侵防范系统 (HIPS) 动态地分析所有在计算机上运行的程
序 以检测并阻断可能带有恶意的程序活动。可疑行为 包括更改注册表 使得在计算机启动时 病
毒会自动运行。
可疑行为检测会监测所有系统进程中恶意软件的活动迹象 如 可疑的注册表写入操作 或文件复
制操作等。可以设置提醒管理员和/或阻断进程。
恶意行为检测 可以对所有运行在计算机上的程序进行动态分析 以检测并阻断已知的恶意行为。
缓冲区溢出检测
缓冲区溢出检测对于处理当天最新出现的安全隐患很重要。
它可以动态地分析正在系统中运行的程序的行为 以便及时检测到使用缓冲区溢出手段利用正
在运行的进程的企图。它可以捕捉针对操作系统软件和应用程序软件中的安全漏洞发起的攻
击。

swizzer

761773275 发表于 2022-2-18 17:05
双主防，HPMA和一个自研的主防，据我双击的经验，感觉主要杀窃取数据之类的，对MBR，勒索这种不感冒

MBRKiller和勒索全靠HMPA输出吧