【非常凶悍，让所有主流杀软沦陷的病毒】

00006666

a27573 发表于 2022-5-14 20:40
R3 Hook 实现的吗？感觉可能能绕过

智量因为比较小众，然后可能研究它的攻击者比较少

a27573

00006666 发表于 2022-5-14 20:44
智量因为比较小众，然后可能研究它的攻击者比较少

R3 Hook 有通用绕过方法的

swizzer

a27573 发表于 2022-5-14 20:40
R3 Hook 实现的吗？感觉可能能绕过

似乎是的

00006666

swizzer 发表于 2022-5-14 21:08
似乎是的

话说我感觉智量如果往EDR方面发展似乎是挺有潜力的，以后可以增加一下类似其他EDR那种显示完整攻击链这种功能。

a27573

00006666 发表于 2022-5-14 21:21
话说我感觉智量如果往EDR方面发展似乎是挺有潜力的，以后可以增加一下类似其他EDR那种显示完整攻击链这种 ...

任何个人杀软加上 EDR 都是巨大的提升
可惜这玩意是企业版赚钱的重点，不会下放，一般人也玩不转

swizzer

00006666 发表于 2022-5-14 21:21
话说我感觉智量如果往EDR方面发展似乎是挺有潜力的，以后可以增加一下类似其他EDR那种显示完整攻击链这种 ...

个人用户基本玩不转这玩意儿的

看起来智量一时半会儿也达不到进军企业市场的水准

a27573

实测 ESET 可以拦住这个 BSJ 病毒
Hyper-V 虚拟机，LTSC 2019

首先是锁库，这个时间够久了吧



ESET HIPS 设置为拦截这几个样本的所有注册表、文件、应用程序操作
但对 BSJzx毁灭性病毒（最终版本） 其实只要拦截注册表操作就够了
对 BSJ电脑病毒 还要禁止它启动net.exe，所以要用到应用程序操作


首先是 BSJzx毁灭性病毒（最终版本）
我测了三次
第一次没截图，但重启之后正常，只是系统时间被改了

第二次：

首先，按楼主的说法，UAC 选是或否没有影响，我就先选否

又弹了一次（可能是我多点了），继续否

无事发生

这次选是

可以看见桌面崩溃

重启

可见除正常系统时间外均正常

由于系统时间问题，ESET 激活时间被卡了 bug
顺便提一下，修改系统时间干掉卡巴已经是老梗了，不能因为卡巴提醒你把系统时间改回来就认为卡巴无法启动

可能同样是因为系统时间原因，此时打开 ESET 日志时 ESET 崩溃

开启网络，自动同步修复时间问题

此时 ESET 日志可正常打开，可见拦截了大量注册表操作
至此，确认防御成功

第三次，尝试不重启直接恢复：

用 Ctrl+Alt+Del 呼出任务管理器，选择“Windows 资源管理器”，右键重启

恢复正常

BSJ电脑病毒

直接运行，桌面崩溃

使用任务管理器重启 explorer


恢复正常

C盘格式化 因为我没装.net，所以没测，但理论上来说更容易防御

结论：
最近 ESET 在卡饭被某些人称为“高级启发式扫描器”，但就是这样一个 HIPS 可玩性不强、“过了扫描就 GG”的杀软，经过设置仍然可以拦截此病毒对系统的破坏。
这些低技术样本对于使 ESET 摆脱上述评价帮助不大，但可以说明，其他拥有较为完善的 HIPS 的杀毒软件（如卡巴）经过适当的设置后应当完全有能力做到同样效果甚至更好。

也许有人要说：这样的 HIPS 规则会使许多软件无法运行，不能作为实用规则；这次测试完全是针对性测试，对日常使用来说没有意义。

但是，我这样设置一方面是为了省时间，只是为了验证这个恶意软件是否真像楼主所说的那么玄乎（HIPS 正确设置后也无法拦截）
另一方面是因为 ESET 的 HIPS 可玩性太差，比如缺乏分组和通配符功能，我也懒得仔细打磨

这类恶意软件所修改的注册表，所调用的程序，所修改的文件，是可以整理归纳出来的，在具有完善 HIPS 的杀软中，针对这些敏感操作设置规则是完全可行的（其实 ESET 也行，不过可能麻烦点），甚至已经是一些杀软的自带功能（如火绒）

至此可以得出结论：这个样本并不像楼主所言那么玄乎，楼主说无法拦截很可能只是因为设置不正确

@众生悟道 @ICzcz @多变的风向 @LastF1ame_

ICzcz

a27573 发表于 2022-5-14 21:50
实测 ESET 可以拦住这个 BSJ 病毒
Hyper-V 虚拟机，LTSC 2019

厉害

ESET的HIPS少见发威了呢

这些低技术样本对于使 ESET 摆脱上述评价帮助不大

不过确实是这样

swizzer

a27573 发表于 2022-5-14 21:50
实测 ESET 可以拦住这个 BSJ 病毒
Hyper-V 虚拟机，LTSC 2019

说实话，拿HIPS干这几个属于是杀鸡焉用牛刀，毕竟UAC就能拦截这几个玩意儿

楼主说那么玄乎，很可能只是懒得/不会/以为自己会但是不会设置卡巴的HIPS
而且，我实在是不明白UAC选否之后样本是怎么继续为非作歹的，更不明白卡巴的HIPS如何能够在拦截样本一切操作的情况下被穿

当然改系统时间干掉卡巴倒是老生常谈的问题了，卡巴对于这个问题似乎还没有采取实质性的措施



附上一点前后矛盾的发言

我知道你的意思，你就是把那些权限全部阻止，它照样破坏，样本运行后，KES11.6的授权直接就没了，病毒库也更新不了，重启后，KES正常了，但是系统已经废了，你是没见过厉害的病毒样本，如果未知威胁那么好对付的话，就会有那么多杀软翻车了

你这个杠精，从低限制组，说到高限制，现在又扯到不信任组，凡是个正常程序总需要权限吧，你啥权限都不给，只开个启动，你运行一个软件我看看，只开启动，任何权限不给，连一条记录事件都没有，不管什么程序都是

“把那些权限全部阻止照样破坏”

a27573

ICzcz 发表于 2022-5-14 22:25
厉害

ESET的HIPS少见发威了呢

毕竟是手动把能禁的全禁了，所以只能说明 ESET 的 HIPS 不完全是废品
想了一下，把日志里记录的所有操作都做成“阻止所有应用程序”的规则好像也不会影响系统正常运行，毕竟都是些正常软件不会做的操作，但是总而言之意义不大，能漏的地方太多了