#APT #APT-C-08 #Bitter #蔓灵花 CHM 样本 1X

显示全部楼层 · 发表于 2023-8-1 16:23:38

hhhq316 发表于 2023-8-1 16:19
这不就是FSP？

FS的企业版，实际上龟大买的那个是带EDR的套装

企业版主要是比个人版多了更好的回滚...虽然DG还是不太行

显示全部楼层 · 发表于 2023-8-1 16:26:23

隔山打空气发表于 2023-8-1 16:23
FS的企业版，实际上龟大买的那个是带EDR的套装

企业版主要是比个人版多了更好的回滚...虽然DG还是不太 ...

FS有回滚？好像从没见它滚过

显示全部楼层 · 发表于 2023-8-1 16:26:52

hhhq316 发表于 2023-8-1 16:19
这不就是FSP？

显然FSP没有这个

只不过我只扫描了一下（这种情况下和FS无差别）
因为它没有目标上钩时下载到的msi是0字节，没有用EDR跑行为的意义

显示全部楼层 · 发表于 2023-8-1 16:29:18

hhhq316 发表于 2023-8-1 16:26
FS有回滚？好像从没见它滚过

只有企业版（WithSecure）才有，如下图

企业版分家之后，他们基于DeepGuard做了一个增强的行为反勒索（DataGuard），包含回滚（使用卷影实现）
个人版的DeepGuard还是之前的DeepGuard，没有区别

显示全部楼层 · 发表于 2023-8-1 16:29:31

神龟Turmi 发表于 2023-8-1 16:26
显然FSP没有这个

哦，原来这个带控制台，和EMSI一样，能看到程序的分步运行操作

显示全部楼层 · 发表于 2023-8-1 17:04:33

显示全部楼层 · 发表于 2023-8-1 17:29:27

奇安信
Trojan.Win32.Generic.ed4

显示全部楼层 · 发表于 2023-8-1 17:37:40

卡巴kill

显示全部楼层 · 发表于 2023-8-1 17:45:07

隔山打空气发表于 2023-8-1 16:23
FS的企业版，实际上龟大买的那个是带EDR的套装

企业版主要是比个人版多了更好的回滚...虽然DG还是不太 ...

Deepguard现在感觉挺沉默的，特别是PE样本，几乎没见过他罕见杀之外的报法。
我记得几年前DG挺有存在感的

显示全部楼层 · 发表于 2023-8-1 21:08:18

IamAngry 发表于 2023-8-1 17:45
Deepguard现在感觉挺沉默的，特别是PE样本，几乎没见过他罕见杀之外的报法。
我记得几年前DG挺有存在感 ...

没办法，时过境迁了，DG对脚本还是有点机会，FS系列好歹还有OEM APC，能撑撑场子

他自己家的云就不说了，触发时许多情况除了误报就是错误加白恶意文件...

[病毒样本] #APT #APT-C-08 #Bitter #蔓灵花 CHM 样本 1X