白加黑cs木马

dght432

wdyaoyao

eset miss

anxiety520

Kaspersky 双击秒报
事件: 检测到恶意对象
应用程序: Windows Explorer
用户: DESKTOP\86137
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Exploit.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Windows
对象名称: explorer.exe
原因: 行为分析
数据库发布日期: 今天，2023/7/17 11:45:00
MD5: 357B678C68D3D5EE86E1B706FBFD994B

Hibike

anxiety520 发表于 2023-7-17 17:00
Kaspersky 双击秒报
事件: 检测到恶意对象
应用程序: Windows Explorer

az，黑dll不是静态就杀了吗

1. Event: Object deleted
   
2. User: DESKTOP-KQC5QFG\Sawtooth
   
3. User type: Initiator
   
4. Application name: 7zG.exe
   
5. Application path: C:\Program Files\7-Zip
   
6. Component: File Anti-Virus
   
7. Result description: Deleted
   
8. Type: Trojan
   
9. Name: Trojan.Win32.Cobalt.qow
   
10. Precision: Exactly
    
11. Threat level: High
    
12. Object type: File
    
13. Object name: mpsvc.dll
    
14. Object path: C:\Users\Sawtooth\Desktop\各科成绩说明
    
15. MD5 of an object: FB65D7FFC587868890496451B4706F39

复制代码

bananas12138

卡巴 阻止下载

已阻止下载危险对象
已阻止下载用来感染您的计算机、降低其速度、破坏系统或导致其他问题的恶意文件或其他对象。

您被 Kaspersky 安全软件保护以防止下载该对象。您可以无风险地关闭该窗口。

隐藏详情

检测时间: 2023/7/17 17:14:09

网址: .........................

原因: 对象被感染 Trojan.Win32.Cobalt.qow
毒霸扫描miss，虚拟机下360、火绒扫描miss，微步vt均未检出

anxiety520

Hibike 发表于 2023-7-17 17:06
az，黑dll不是静态就杀了吗

根据漏洞利用防御规则，这个白文件是不被允许以双击的方式运行的......更不用说dll了

Hibike

anxiety520 发表于 2023-7-17 17:21
根据漏洞利用防御规则，这个白文件是不被允许以双击的方式运行的......更不用说dll了

我的意思是，用不着双击，黑dll落地的时候就应该杀掉了。(或许你是特意测试SW？那就当我没说)

而且PDM本身就会检测双后缀程序，所以一般测试时还是建议排除双后缀的干扰。

anxiety520

Hibike 发表于 2023-7-17 17:25
我的意思是，用不着双击，黑dll落地的时候就应该杀掉了。(或许你是特意测试SW？那就当我没说)

而且PDM ...

这不是双后缀报法Badex，是Generic

Hibike

anxiety520 发表于 2023-7-17 17:31
这不是双后缀报法Badex，是Generic

主要是因为黑dll被入库了，所以不能断定未入库时PDM的行为。PDM跟静态深度联动，很难排除入库对主防的影响

anxiety520

Hibike 发表于 2023-7-17 17:32
主要是因为黑dll被入库了。PDM跟静态深度联动，很难排除入库对主防的影响

第一次测试时UDS反应太快了，刚解压好dll就没了，但是双击的时候SW仍然会报Generic。
而且与静态联动的后缀多数是Bazon Yzon

想要排除入库对PDM造成的影响是可以实现的，需要对静态的各个报法以及联动报法加排除，IPS里把程序放到低限里才行，步骤有点多