测试360对于新版Magniber勒索病毒的防护

00006666

1094947421 发表于 2022-8-1 00:39
除非明确在表述里说明是病毒，否则，风险程序，可疑操作，这种含糊不清的描述在我看来就是防御失败了，所以 ...

不过Magniber是靠直接系统调用来做注入，你换成一般的HIPS未必能拦的住，比如你可以试试火绒HIPS开手动，大概率拦截不了……，这种技术就是设计出来用于绕EDR的

不过确实多步主防更靠谱

00006666

1094947421 发表于 2022-8-1 00:39
除非明确在表述里说明是病毒，否则，风险程序，可疑操作，这种含糊不清的描述在我看来就是防御失败了，所以 ...

不过话说其实，正常的勒索，360那边是通过一种类似多步的方法(监控-备份-还原)的方法来识别的，监控文档操作，后台备份文档，达到拦截要求后触发拦截然后还原文档，不过遇到Magniber这种做注入系统进程的，360之前用的那种勒索保护机制就失效了，因为没有完整的多步主防……，然后除了HIPS基本就防不住了，虽然有的时候云端响应会很快……

发呆的阿狸~

00006666 发表于 2022-8-1 01:31
不过话说其实，正常的勒索，360那边是通过一种类似多步的方法(监控-备份-还原)的方法来识别的，监控文档 ...

360这种HIPS并不是很多杀软能够实现的吧感觉必须要有个强大的白名单体系。
不过相比主动防御或者智能HIPS我更喜欢EMSI那种单步主防的感受

00006666

发呆的阿狸~ 发表于 2022-8-1 20:25
360这种HIPS并不是很多杀软能够实现的吧感觉必须要有个强大的白名单体系。
不过相比主动防御或者智能HIP ...

话说EMSI那种单步主防是怎么样的，没用过不了解……

发呆的阿狸~

00006666 发表于 2022-8-3 16:41
话说EMSI那种单步主防是怎么样的，没用过不了解……

我不知道EMSI到底是不是单步主防给我的感觉和360的行为拦截有点类似(补充:所以我后面就称EMSI的主防是单步的了)
对未知软件有风险行为比如静默安装他会直接拦截即使不是广告软件。
然后也会请求云端进行几秒的判定是否安全之类的。
我对单步主动防御的个人理解就是emm智能的HIPS行为联动云 黑白名单等做出的判断而有些需要用户自己判断。多步的理解就是ATD SW SONAR那种他不会对某个特定的行为进行拦截也不会出现由用户判断的情况而是直接判定软件是否安全不安全则对软件造成的影响进行回滚？
不知道我的理解对不对，做了关于这个问题更多引申(话有点多hhh,主要是自己也不确定希望大佬能看到给些答复啥的)