楼主: 00006666
收起左侧

[分享] 关于防御当前流行Magniber勒索病毒变种的防护设置

  [复制链接]
paul_guo
发表于 2022-5-25 16:16:03 | 显示全部楼层
Shake2333 发表于 2022-5-21 23:43
貌似360是目前少数能防御Magniber的杀软之一

手动判断就会有这样的方便
00006666
 楼主| 发表于 2022-5-25 17:31:39 | 显示全部楼层
本帖最后由 00006666 于 2022-5-25 18:38 编辑
lvseqiji 发表于 2022-5-25 14:51
我的电脑也开不了核晶,windows11, hyper-V,沙盒之类的都没开,然后在虚拟机里开个windows10就能开 ...

好像64位系统除了VT,还真没有什么手段来拦截注入,这个不是不用核晶也能拦截的问题,而是除了VT几乎就没有其他方法来实现拦截,不知道r3 HOOK能不能做到,不过就是能做到也很容易被绕过。

所以64位系统也没几个HIPS能拦截注入的,同样用了VT的卡巴应该也能做到。
Jirehlov1234
发表于 2022-5-25 17:59:07 | 显示全部楼层
00006666 发表于 2022-5-25 17:31
好像64位系统除了VT,还真没有什么手段来拦截注入,这个不是不用核晶也能拦截的问题,而是除了VT几乎就没 ...

选项是有的https://bbs.kafan.cn/thread-2235372-1-1.html

但是注入和加密没关系,要把上游进程msiexec杀了才行。

评分

参与人数 1人气 +2 收起 理由
00006666 + 2

查看全部评分

00006666
 楼主| 发表于 2022-5-25 18:35:23 | 显示全部楼层
本帖最后由 00006666 于 2022-5-25 18:36 编辑
Jirehlov1234 发表于 2022-5-25 17:59
选项是有的https://bbs.kafan.cn/thread-2235372-1-1.html

但是注入和加密没关系,要把上游进程msiexe ...

和注入没关系这个我知道的,注入的话只是说现在这个家族样本的一个比较典型的识别特征,应该也没多少正常MSI安装包会注入其他进程这种行为。
lvseqiji
发表于 2022-5-25 18:42:03 | 显示全部楼层
00006666 发表于 2022-5-25 17:31
好像64位系统除了VT,还真没有什么手段来拦截注入,这个不是不用核晶也能拦截的问题,而是除了VT几乎就没 ...

我记得360不开核晶会弱很多,不只是注入。360一直也不谈自己哪些东西是做到核晶里的
Jirehlov1234
发表于 2022-5-25 18:43:12 | 显示全部楼层
00006666 发表于 2022-5-25 10:35
和注入没关系这个我知道的,注入的话只是说现在这个家族样本的一个比较典型的识别特征,应该也没多少正常 ...

智量那种加密几个再回滚的主防策略比较保险。拦截注入/可疑dll/cryptographic service provider 这些都比较容易误报。

评分

参与人数 1人气 +2 收起 理由
00006666 + 2

查看全部评分

00006666
 楼主| 发表于 2022-5-25 18:50:26 | 显示全部楼层
本帖最后由 00006666 于 2022-5-25 18:51 编辑
lvseqiji 发表于 2022-5-25 18:42
我记得360不开核晶会弱很多,不只是注入。360一直也不谈自己哪些东西是做到核晶里的

但凡是要用R3 HOOK才能实现的防护拦截,360应该大多数都做到核晶里面去了,类似拦截模拟按键这种的,因为360那边可能是觉得R3 HOOK比较容易被绕过,核晶相对来说更安全一点,不容易绕过。
lvseqiji
发表于 2022-5-25 18:53:21 | 显示全部楼层
00006666 发表于 2022-5-25 18:50
但凡是要用R3 HOOK才能实现的防护拦截,360应该大多数都做到核晶里面去了,类似模拟按键这种的,因为360 ...

总之开不了核晶就没啥后备方案了,麻
00006666
 楼主| 发表于 2022-5-25 18:56:21 | 显示全部楼层
本帖最后由 00006666 于 2022-5-25 18:57 编辑
lvseqiji 发表于 2022-5-25 18:53
总之开不了核晶就没啥后备方案了,麻

R3 HOOK也能防就是了,不过这个就是厂家的技术策略的问题,其他厂家可能就比较倾向于R3 HOOK,而且实现这种嵌套虚拟化的难度要比R3 HOOK难很多。
lvseqiji
发表于 2022-5-25 19:00:43 | 显示全部楼层
话说我比较希望360同时发展下comodo那种自动入沙的方案,360的信誉库完全不会有comodo那种误入沙的尴尬状况。不知道这种自动入沙怎么没友商做,comodo已经证明这完全可行的,效果不错。
之前在火绒论坛那里看官方说,有漏沙风险,所以不做。我就不懂了,漏沙还能比不入沙后果严重?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:17 , Processed in 0.098207 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表