关于防御当前流行Magniber勒索病毒变种的防护设置

paul_guo

Shake2333 发表于 2022-5-21 23:43
貌似360是目前少数能防御Magniber的杀软之一

手动判断就会有这样的方便

00006666

lvseqiji 发表于 2022-5-25 14:51
我的电脑也开不了核晶，windows11， hyper-V，沙盒之类的都没开，然后在虚拟机里开个windows10就能开 ...

好像64位系统除了VT，还真没有什么手段来拦截注入，这个不是不用核晶也能拦截的问题，而是除了VT几乎就没有其他方法来实现拦截，不知道r3 HOOK能不能做到，不过就是能做到也很容易被绕过。

所以64位系统也没几个HIPS能拦截注入的，同样用了VT的卡巴应该也能做到。

Jirehlov1234

00006666 发表于 2022-5-25 17:31
好像64位系统除了VT，还真没有什么手段来拦截注入，这个不是不用核晶也能拦截的问题，而是除了VT几乎就没 ...

选项是有的https://bbs.kafan.cn/thread-2235372-1-1.html

但是注入和加密没关系，要把上游进程msiexec杀了才行。

00006666

Jirehlov1234 发表于 2022-5-25 17:59
选项是有的https://bbs.kafan.cn/thread-2235372-1-1.html

但是注入和加密没关系，要把上游进程msiexe ...

和注入没关系这个我知道的，注入的话只是说现在这个家族样本的一个比较典型的识别特征，应该也没多少正常MSI安装包会注入其他进程这种行为。

lvseqiji

00006666 发表于 2022-5-25 17:31
好像64位系统除了VT，还真没有什么手段来拦截注入，这个不是不用核晶也能拦截的问题，而是除了VT几乎就没 ...

我记得360不开核晶会弱很多，不只是注入。360一直也不谈自己哪些东西是做到核晶里的

Jirehlov1234

00006666 发表于 2022-5-25 10:35
和注入没关系这个我知道的，注入的话只是说现在这个家族样本的一个比较典型的识别特征，应该也没多少正常 ...

智量那种加密几个再回滚的主防策略比较保险。拦截注入/可疑dll/cryptographic service provider 这些都比较容易误报。

00006666

lvseqiji 发表于 2022-5-25 18:42
我记得360不开核晶会弱很多，不只是注入。360一直也不谈自己哪些东西是做到核晶里的

但凡是要用R3 HOOK才能实现的防护拦截，360应该大多数都做到核晶里面去了，类似拦截模拟按键这种的，因为360那边可能是觉得R3 HOOK比较容易被绕过，核晶相对来说更安全一点，不容易绕过。

lvseqiji

00006666 发表于 2022-5-25 18:50
但凡是要用R3 HOOK才能实现的防护拦截，360应该大多数都做到核晶里面去了，类似模拟按键这种的，因为360 ...

总之开不了核晶就没啥后备方案了，麻

00006666

lvseqiji 发表于 2022-5-25 18:53
总之开不了核晶就没啥后备方案了，麻

R3 HOOK也能防就是了，不过这个就是厂家的技术策略的问题，其他厂家可能就比较倾向于R3 HOOK，而且实现这种嵌套虚拟化的难度要比R3 HOOK难很多。

lvseqiji

话说我比较希望360同时发展下comodo那种自动入沙的方案，360的信誉库完全不会有comodo那种误入沙的尴尬状况。不知道这种自动入沙怎么没友商做，comodo已经证明这完全可行的，效果不错。
之前在火绒论坛那里看官方说，有漏沙风险，所以不做。我就不懂了，漏沙还能比不入沙后果严重？