#signed #fake #telegram (2022-09-03)

显示全部楼层 · 发表于 2022-9-3 22:40:59

本帖最后由 anxiety520 于 2022-9-3 22:45 编辑

Jirehlov1234 发表于 2022-9-3 16:43
这个信任要在操作系统里面把证书吊销了才可以，跟hips没关系

不是，我是针对他说的“杀软都直接信任”来解释的。数签信任并不代表信任，而层主搞混了KSN信任与数签信任的区别。关闭该选项后，杀软依旧不会信任该程序。因而不会阻碍PDM的监控

显示全部楼层 · 发表于 2022-9-4 00:17:02

本帖最后由 UNknownOoo 于 2022-9-4 00:24 编辑

智量
扫描：拉黑（dropper
双击：衍生物报WIBD:HEUR.MalBehavior.B

给这个衍生物套了个upx绕过智量扫描后双击衍生物（TG-x64.3.7.3_New.exe），衍生物2（ofhy.exe）释放且智量无反应

显示全部楼层 · 发表于 2022-9-4 00:51:11

UNknownOoo 发表于 2022-9-4 00:17
智量
扫描：拉黑（dropper
双击：衍生物报WIBD:HEUR.MalBehavior.B

内存扫一下看看

显示全部楼层 · 发表于 2022-9-4 01:08:47

anxiety520 发表于 2022-9-4 00:51
内存扫一下看看

已经关机了..但等了至少15min，智量的内存防护似乎没有反应

显示全部楼层 · 发表于 2022-9-4 01:12:02

UNknownOoo 发表于 2022-9-4 01:08
已经关机了..但等了至少15min，智量的内存防护似乎没有反应

手动扫描也没用吗

显示全部楼层 · 发表于 2022-9-4 01:20:00

anxiety520 发表于 2022-9-4 01:12
手动扫描也没用吗

智量没有单扫内存的选项...我扫了一遍快速扫描，未检出

显示全部楼层 · 发表于 2022-9-4 01:23:35

anthonyqian 发表于 2022-9-3 19:37
数字签名当然有加白机制啊

问题是加白的意义在哪里？以及是怎么知道这个是KSN加白的

显示全部楼层 · 发表于 2022-9-4 01:30:07

tdsskiller 发表于 2022-9-3 18:37
大大说过安全与易用性矛盾，不加白误报率爆炸怎么办。。。

如果你说数签过期了或者某些自签的加白我能理解，有效数签加白有什么意义，不都是泄漏或者被盗用后拉黑么。。。

显示全部楼层 · 发表于 2022-9-4 02:51:19

rogersg 发表于 2022-9-4 01:30
如果你说数签过期了或者某些自签的加白我能理解，有效数签加白有什么意义，不都是泄漏或者被盗用后拉黑么 ...

@rogersg PDM会对典型的漏洞利用或未经授权的操作尝试进行阻断，只要软件被抓到非法提权之类的行为就会被杀，这个跟有没有数签没有关系（经测试）。
自行加白通常无法解除误报，于是卡巴斯基引入了KSN—白名单系统，大大降低了误报率，工作原理可参考UDS
此外，在加白软件之后，即使关闭了“信任具有数签的应用程序“，HIPS依旧会将其放入受信任列表

显示全部楼层 · 发表于 2022-9-4 03:26:27

趋势
HEU_AEGIS_HttpDownloadChecker

[病毒样本] #signed #fake #telegram (2022-09-03)

本帖子中包含更多资源