12
返回列表 发新帖
楼主: 00006666
收起左侧

[讨论] 测试360对于新版Magniber勒索病毒的防护

[复制链接]
00006666
 楼主| 发表于 2022-8-1 01:14:29 | 显示全部楼层
本帖最后由 00006666 于 2022-8-1 01:19 编辑
1094947421 发表于 2022-8-1 00:39
除非明确在表述里说明是病毒,否则,风险程序,可疑操作,这种含糊不清的描述在我看来就是防御失败了,所以 ...

不过Magniber是靠直接系统调用来做注入,你换成一般的HIPS未必能拦的住,比如你可以试试火绒HIPS开手动,大概率拦截不了……,这种技术就是设计出来用于绕EDR的

不过确实多步主防更靠谱
00006666
 楼主| 发表于 2022-8-1 01:31:18 | 显示全部楼层
本帖最后由 00006666 于 2022-8-1 01:33 编辑
1094947421 发表于 2022-8-1 00:39
除非明确在表述里说明是病毒,否则,风险程序,可疑操作,这种含糊不清的描述在我看来就是防御失败了,所以 ...

不过话说其实,正常的勒索,360那边是通过一种类似多步的方法(监控-备份-还原)的方法来识别的,监控文档操作,后台备份文档,达到拦截要求后触发拦截然后还原文档,不过遇到Magniber这种做注入系统进程的,360之前用的那种勒索保护机制就失效了,因为没有完整的多步主防……,然后除了HIPS基本就防不住了,虽然有的时候云端响应会很快……
发呆的阿狸~
发表于 2022-8-1 20:25:42 | 显示全部楼层
00006666 发表于 2022-8-1 01:31
不过话说其实,正常的勒索,360那边是通过一种类似多步的方法(监控-备份-还原)的方法来识别的,监控文档 ...

360这种HIPS并不是很多杀软能够实现的吧感觉必须要有个强大的白名单体系。
不过相比主动防御或者智能HIPS我更喜欢EMSI那种单步主防的感受
00006666
 楼主| 发表于 2022-8-3 16:41:36 | 显示全部楼层
发呆的阿狸~ 发表于 2022-8-1 20:25
360这种HIPS并不是很多杀软能够实现的吧感觉必须要有个强大的白名单体系。
不过相比主动防御或者智能HIP ...

话说EMSI那种单步主防是怎么样的,没用过不了解……
发呆的阿狸~
发表于 2022-8-3 20:12:59 | 显示全部楼层
本帖最后由 发呆的阿狸~ 于 2022-8-5 08:37 编辑
00006666 发表于 2022-8-3 16:41
话说EMSI那种单步主防是怎么样的,没用过不了解……

我不知道EMSI到底是不是单步主防给我的感觉和360的行为拦截有点类似(补充:所以我后面就称EMSI的主防是单步的了)
对未知软件有风险行为比如静默安装他会直接拦截即使不是广告软件。
然后也会请求云端进行几秒的判定是否安全之类的。
我对单步主动防御的个人理解就是emm智能的HIPS行为联动云 黑白名单等做出的判断而有些需要用户自己判断。多步的理解就是ATD SW SONAR那种他不会对某个特定的行为进行拦截也不会出现由用户判断的情况而是直接判定软件是否安全不安全则对软件造成的影响进行回滚?
不知道我的理解对不对,做了关于这个问题更多引申(话有点多hhh,主要是自己也不确定希望大佬能看到给些答复啥的)

评分

参与人数 1人气 +2 收起 理由
00006666 + 2

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-20 05:04 , Processed in 0.095091 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表