iDefender 是否能与Magniber对抗【正在施工】

显示全部楼层 · 发表于 2023-3-18 21:13:02

本帖最后由 123456aaaafsdeg 于 2023-3-18 21:59 编辑

本文由@danger 和@nikonikoni 共同完成。本文还在施工，省流看结果https://docs.qq.com/sheet/DS1dGYlNybFNjVnlk?tab=BB08J2

这几天，猴子跟我说他看到一个主动防御软件，想测试一下
https://bbs.kafan.cn/thread-2253309-1-1.html

本次样本采用Magniber 11.1期。
先放上UI图，个人觉得还可以

本次分为两轮测试：默认规则：

防御失败，桌面和D盘的文件均被加密，加密类型多。

有自定义规则：
自定义规则设置如下

防御失败，仍有部分文件被加密，但加密文件无太多。

~~本文还在施工，但先写结尾~~

软件作为辅助还可以的，可以作为MD，火绒，MB之类的补充，但目前不要对他放太大期望，希望这个软件能坚持下去哈。

显示全部楼层 · 发表于 2023-3-18 22:41:05

这东东，日常使用弹窗猛不猛。

显示全部楼层 · 发表于 2023-3-18 23:15:26

aiyaya8 发表于 2023-3-18 22:41
这东东，日常使用弹窗猛不猛。

如果按照普通规则的话，基本上感受不大。但如果加了很多自定义规则，可能会增加弹窗

显示全部楼层 · 发表于 2023-3-18 23:48:26

本帖最后由 danger 于 2023-3-18 23:50 编辑

niko也测试测试可以找些其他样本玩玩，当然只是空余评测，各位看官多多支持

@安全测评

显示全部楼层 · 发表于 2023-3-19 00:56:53

希望可以看到更多比如远程线程创建、底层磁盘访问、内存读取与修改等防御选项。

显示全部楼层 · 发表于 2023-3-19 10:47:49

日常使用有丢规则的现象。

显示全部楼层 · 发表于 2023-3-19 18:26:05

本帖最后由 00006666 于 2023-3-19 18:27 编辑

Magniber就是设计来绕过这种防护软件的

，全白名单进程执行，单纯靠拦截进程/文件作用不大

显示全部楼层 · 发表于 2023-3-24 07:22:45

你这个规则写得太烂了

你禁止所有进程修改文档文件，那你自己要改怎么办
Magniber的文件名就只有你这一种吗

iDefender有驱动，你这么写肯定能拦一部分，但是你自己能用不。。。

Hips讲究的就是低误报率高拦截率

https://bbs.kafan.cn/thread-2235372-1-1.html曾经有人写过有效规则，但是Magniber随机注入系统进程执行操作还是会无法进行有效防御

而iDefender的优势就在于，是否能够通过使用高级模板与专家模板模拟类多步主防，根据多个行为综合判断

显示全部楼层 · 发表于 2023-3-24 07:30:18

wwwab 发表于 2023-3-24 07:22
你这个规则写得太烂了

你禁止所有进程修改文档文件，那你自己要改怎么办

那个进程拦截xxx.msi本身就是无效的，名字一样也没用

显示全部楼层 · 发表于 2023-3-24 07:36:10

00006666 发表于 2023-3-24 07:30
那个进程拦截xxx.msi本身就是无效的，名字一样也没用

好像确实有问题，就算要写成这样也应该放在进程路径参数或者文件路径参数里面，而不是进程名参数里面，而且进程名参数就算写的是msiexec.exe，别的msi可能也会用到，实现不了低误报率，但是如果通过使用高级模板与专家模板模拟类多步主防，根据多个行为综合判断，那条规则没准可能会是一个很好的选择

[分享] iDefender 是否能与Magniber对抗【正在施工】

本帖子中包含更多资源

评分

评分

评分