和大家说个鬼故事，毛豆HIPS彻底被过，市面上大部分反勒索被虐体无完肤。

显示全部楼层 · 发表于 2022-5-14 12:14:58

con16 发表于 2022-5-14 12:03
可否看一下文件評級

假如盼為未知，最後防線就是自動沙盒

因为MSI是通过msiexec.exe解析安装的，而msiexec.exe又是系统程序，所以被评级为信任的。
需要开启脚本分析，这里会有个证书验证会默认入沙。

但是如果关了脚本分析，那么就只能GG!

显示全部楼层 · 发表于 2022-5-14 12:19:21

con16 发表于 2022-5-14 12:09
現在用毛豆一定得用他的自動沙盒
HIPS按確認給過，最後就要靠沙盒攔

自动沙盒是可以，但是这个HIPS被过了也是事实。
等会我找个签名给这个样本加上看看会怎么样。

显示全部楼层 · 发表于 2022-5-14 12:25:14

本帖最后由 con16 于 2022-5-14 12:29 编辑

現在就感覺不能單用他家其中一個功能
照毛豆當初設計
CAV掃不到就要自動入沙盒，HIPS這幾年沒什麼進步bug還是有
白+黑那個剛好，黑名單CAV就是他家弱項

最近感覺他們CAV入庫稍微比以前擺爛時候好一點

显示全部楼层 · 发表于 2022-5-14 12:30:45

con16 发表于 2022-5-14 12:25
現在就感覺不能單用他家其中一個功能
照毛豆當初設計
CAV掃不到就要自動入沙盒，HIPS這幾年沒什麼進步bug ...

直接看图吧。

显示全部楼层 · 发表于 2022-5-14 12:35:42

lixihong10 发表于 2022-5-14 12:30
直接看图吧。

啊，这就过了？

显示全部楼层 · 发表于 2022-5-14 12:44:35

con16 发表于 2022-5-14 11:46
是最新8032還是8012

看一下你說那個，被cav入庫

Comodo基本上Malware@.... 的检测都是基于MD5，完全不能检测到Magniber的新变种。Comodo的引擎检测易语言和损坏的PE文件最擅长。

显示全部楼层 · 发表于 2022-5-14 12:49:01

tg123321 发表于 2022-5-14 12:35
啊，这就过了？

嗯，HIPS过了，自动沙盒加签名过了。

显示全部楼层 · 发表于 2022-5-14 13:31:07

加簽名就白+黑

看一下官方論壇有人回說還是擋住Malware@

目前那個變種都是基於那個外洩簽名，像壇友加其他的就可能過

显示全部楼层 · 发表于 2022-5-14 14:04:44

这不是早就知道了吗，只要白加黑基本上毛豆直接GG。
关键是现在白签名泄露真不是什么稀罕事情了，安全软件应该发展更加复杂的信誉认证方式

显示全部楼层 · 发表于 2022-5-14 14:27:50

本帖最后由 Cel3mt 于 2022-5-14 14:33 编辑

你后面在针对所有程序单测HIPS的时候，有没有事先在受保护的文件/文件夹里添加了 D:\ 这个目录？

[讨论] 和大家说个鬼故事，毛豆HIPS彻底被过，市面上大部分反勒索被虐体无完肤。