iDefender 是否能与Magniber对抗【正在施工】

Tomin2009

00006666 发表于 2023-3-31 13:01
样本之前卡饭里面很多，不过现在这个家族已经不怎么出现了，很久没看见了。

感谢，我再找找看，一般只要定义了文档保护，我测试还没有发现被加密的

15717522768

wwwab 发表于 2023-3-30 22:39
你说的是哪个方面

这俩完全就不是同一个定位

有道理
心里觉得，不要以为是真的

安全测评

感谢大家支持，冰盾设计初衷是为了让专业的安全人员可以有一个轻量级工具设置规则来完全控制自己的电脑，同时提供规则市场用于大家分享交流。开始的规则比较少，防护能力有限，一些使用细节也比较琐碎，未来会持续更新优化。

文档保护一般需要同时对文档设置保护规则、对信任的进程设置进程保护防止注入。但是还是没法保证100%完全安全（比如利用漏洞或者其他机制注入到信任进程、或者直接操作磁盘等等），还需要针对具体病毒的具体行为设置相应的规则才能达到比较好的防护效果。

除了完全基于规则的防护，我们目前正在调研基于ATT&CK模型来自动识别病毒的BAE引擎，希望未来可以为大家提供更好的防护能力。

swizzer

之前逛Github好像看见过这玩意儿的身影

那时候好像还需要自己签名驱动才能拿来用

sanhu35

安全测评 发表于 2023-4-4 12:08
感谢大家支持，冰盾设计初衷是为了让专业的安全人员可以有一个轻量级工具设置规则来完全控制自己的电脑，同 ...

弹窗的时候截图会卡几十秒。可能是两个弹窗连一起，能动的时候是两个连一起弹出来的

安全测评

sanhu35 发表于 2023-4-10 16:38
弹窗的时候截图会卡几十秒。可能是两个弹窗连一起，能动的时候是两个连一起弹出来的

感谢反馈，2.6.0已经发布，优化了这个场景。

同时针对线程注入的，添加了远程线程注入拦截的安全加固选项。
针对设置麻烦的，添加了快速模板，可以比较快捷的添加一个规则。

sanhu35

安全测评 发表于 2023-4-12 14:59
感谢反馈，2.6.0已经发布，优化了这个场景。

同时针对线程注入的，添加了远程线程注入拦截的安全加固 ...

谢谢 我上次反馈到github了。顺便问下>这个通配符代表什么，没看到介绍

安全测评

sanhu35 发表于 2023-4-12 15:23
谢谢 我上次反馈到github了。顺便问下>这个通配符代表什么，没看到介绍

> 是扩展通配符，表示目录 + 子目录
比如 C:\windows> 表示 C:\windows + C:\windows\*
在文件夹保护、或者注册表保护键以及子键的时候会用到，这样可以不设置两个规则。

sanhu35

2.6版加入了快速模板，有发起程序（父进程）

sanhu35

安全测评 发表于 2023-4-12 16:12
> 是扩展通配符，表示目录 + 子目录
比如 C:\windows> 表示 C:\windows + C:\windows\*
在文件夹保护、 ...

了解