自制勒索病毒1.2摸鱼修复最终版，还来测下么。

lixihong10

神龟Turmi 发表于 2023-9-2 10:42
WS23.6（FS企业版）：

本来还想看看EDR能抓到多少行为的，红伞不给面子

偶尔也冒个泡的

szh53

你这样就算搞定了吗？有点不敢用

众生悟道

众生悟道 发表于 2023-9-2 07:36
我是卡巴+comodo,卡巴没有任何拦截,自动放行以后,毛豆的反病毒组件并未检测到威胁,但是对于未知程序,毛豆都 ...

过沙盒,白加黑?你是没有打开HIPS组件吧

Hibike

众生悟道 发表于 2023-9-2 22:49
过沙盒,白加黑?你是没有打开HIPS组件吧

你要是愿意运行个白程序也看一堆弹窗的话，HIPS开到疯狂模式确实也能一定程度上拦截白加黑。
但是白加黑程序默认可是不入沙的。

而且那个你所说的那个访问COM接口的行为跟突破沙盒没有半毛钱关系。

众生悟道

Hibike 发表于 2023-9-2 22:54
你要是愿意运行个白程序也看一堆弹窗的话，HIPS开到疯狂模式确实也能一定程度上拦截白加黑。
但是白加黑 ...

白加黑我用毛豆测试过很多,毛豆是可以拦截白加黑的,那个访问COM接口的行为,我的截图上显示的是毛豆的安装目录下的virtkiosk.exe程序访问的,但是这个virtkiosk.exe程序,就是毛豆的虚拟桌面程序,也就是沙盘程序访问的,沙盘程序之所以访问实体机的COM接口,发起者就是沙盘中运行的未知程序发起的,然后被HIPS组件拦截的

Hibike

众生悟道 发表于 2023-9-2 23:04
白加黑我用毛豆测试过很多,毛豆是可以拦截白加黑的,那个访问COM接口的行为,我的截图上显示的是毛豆的安装 ...

毛豆拦截白加黑只有一种可能，那就是白程序的证书不在毛豆的可信任供应商内。毛豆对白名单的控制还是挺严格的。

访问COM接口当然是沙盒内程序发起的，但是这并不意味着沙盒逃逸。对COM的重定向是沙盒的基本功。

张志海

PYAS：三个版本全kill，均报可疑文件拦截，原来pyas这么强？

呵呵大神001

江民kill

呼啸山庄

Kaspersky Plus 21.14.5.462 + ESET endpoint security 10.1.2050.0 检测引擎版本 27844 (20230902)
Kaspersky Plus kill

事件: 我们发现可能会被入侵者利用以破坏您的计算机或个人数据的应用程序。
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: ekrn.exe
应用程序路径: C:\Program Files\ESET
组件: 文件反病毒
结果说明: 检测到
类型: 可能会造成损害的软件
名称: HEUR:Hoax.MSIL.Ransim.gen
精确度: 启发式分析
威胁级别: 中
对象类型: 文件
对象名称: 请勿实机运行1.2最终版.exe
对象路径: C:\Users\P02-1\Downloads\请勿实机运行1.2最终版\.petmpDDAB75
对象的 MD5: BAEBE9886F921B07C6DB74C366D70A5A
原因: 机器学习
数据库发布日期: 今天，2023/9/3 9:00:00

---

Hyper-V 快速创建 Windows 11 开发环境
WD 机学 kill
HitmanPro.Alert v3.8.24 Build 957 防御失败（有文件被加密）

smz2011

360、火绒 kill now