查看: 1289|回复: 8
收起左侧

[讨论] 自适应防护清理流程破坏文件关联

[复制链接]
bbszy
发表于 2024-5-6 08:36:21 | 显示全部楼层 |阅读模式
本帖最后由 bbszy 于 2024-5-6 11:39 编辑

用了一个windows优化工具,第一次运行的时候按访问保护报毒给删了,然后在按访问保护里排除后,第二次运行,被自适应防护报毒、清理(后来在虚拟机里测试,如果第一次运行的时候禁用按访问保护、不禁用自适应防护,在访问保护没有报毒的情况下自适应防护是不会报毒的,哪怕右键扫描报毒,蛮奇葩的)。

自适应防护清理后,刚开始还没觉得有异常,后来重启电脑后发现,运行批处理文件系统提示找不到文件,vbs脚本可运行但不产生任何作用(好像没运行一样),同时发现keepaasxsc与浏览器无法通信(排查后确认是脚本文件无法正常运行导致的)。

排查了半天最后锁定了可能是咖啡ens的锅。去翻了咖啡的日志、并且在虚拟机里进行了复现测试。由于这个优化小工具要操作cmd、powershell,咖啡的自适应防护在终止进程、回滚相关操作的时候,直接把注册表shell下面cmd等文件关联给删掉了,导致相关文件关联受损(咖啡的log文件里明确记录相关注册表键值被删除,ui界面里的日志不显示相关注册表清理操作,仅显示“清理”这个结果)。

2024-05-05 03:37:40.169+0800|Activity|Orchestrator        |mfeatp                   |      2536|      5908|Action              |post_scan_actions.cpp(2466)             | Real Protect 云发现检测项,检测项名称: ARC AI1-PENG4!7520C359A001,其在源进程 ID: 20456 中 , 源路径: C:\Windows , 源名称: explorer.exe , 目标路径F:\ , 目标名称: Win 10 Tweaker.exe , 目标哈希: 7520c359a001097a907d1961c162c225 , 信誉: 1  [已知恶意文件] , 源用户: DESKTOP- , 目标用户:  , 已采取操作: 清理 , 内容版本: 1.1 , 引擎版本: 1.1
2024-05-05 03:37:46.555+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(604)                | 增强补救: 已删除注册表值 HKLM\SYSTEM\CONTROLSET001\SERVICES\BAM\STATE\USERSETTINGS\S-1-5-21-3505606424-13733722-958333188-1001\\DEVICE\HARDDISKVOLUME3\SOFTWARE\|WIN 10 TWEAKER.EXE。
2024-05-05 03:37:46.557+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(632)                | 增强补救: 已恢复注册表项 HKU\S-1-5-21-3505606424-13733722-958333188-1001\SOFTWARE\Win 10 Tweaker。
2024-05-05 03:37:46.561+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(604)                | 增强补救: 已删除注册表值 HKLM\SOFTWARE\Classes\w10t\shell\open\command|。
2024-05-05 03:37:46.564+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(630)                | 增强补救: 已删除注册表项 HKLM\SOFTWARE\CLASSES\W10T\SHELL\OPEN\COMMAND。
2024-05-05 03:37:46.570+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(630)                | 增强补救: 已删除注册表项 HKLM\SOFTWARE\CLASSES\W10T\SHELL\OPEN。
2024-05-05 03:37:46.577+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(606)                | 增强补救: 已恢复注册表值 HKLM\SOFTWARE\Classes\w10t|URL protocol。
2024-05-05 03:37:46.676+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |FileRemediation.cpp(40)                 | 增强补救: 文件 F:\Software\Win 10 Tweaker.exe 已删除。
2024-05-05 03:37:46.757+0800|Activity|Orchestrator        |mfeatp                   |      2536|      2644|Action              |post_scan_actions.cpp(2466)             | Real Protect 云发现检测项,检测项名称: ,其在源进程 ID: 5060 中 , 源路径: C:\Windows\System32 , 源名称: svchost.exe , 目标路径F:\Software\, 目标名称: Win 10 Tweaker.exe , 目标哈希: 7520c359a001097a907d1961c162c225 , 信誉: 1  [已知恶意文件] , 源用户:  , 目标用户: DESKTOP-, 已采取操作: 清理 , 内容版本: 1.1 , 引擎版本: 1.1
2024-05-05 03:37:49.701+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(231)                  | 增强补救: 已恢复注册表值 ComSpec。
2024-05-05 03:37:49.712+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Drive\shell\cmd\command。
2024-05-05 03:37:49.720+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\batfile\shell\runas\command。
2024-05-05 03:37:49.722+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Directory\shell\cmd\command。
2024-05-05 03:37:49.740+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\cmdfile\shell\runas\command。
2024-05-05 03:37:50.069+0800|Activity|Orchestrator        |mfeatp                   |      2536|     19208|Action              |post_scan_actions.cpp(2649)             | On-Execute Scan 发现检测项,检测项名称: ATP/Suspect!e9be2f86e3a3,在源进程 ID: 5060 中 , 源路径: F:\Software\ , 源名称: Win 10 Tweaker.exe , 源哈希: cb6cd09f6a25744a8fa6e4b3e4d260c5 , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP , 目标用户: DESKTOP- , 已采取操作: 清理 , 规则 ID: 0 , 内容版本:  , 引擎版本:
2024-05-05 03:37:52.929+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(231)                  | 增强补救: 已恢复注册表值 ComSpec。
2024-05-05 03:37:52.948+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Drive\shell\cmd\command。
2024-05-05 03:37:52.954+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\batfile\shell\runas\command。
2024-05-05 03:37:52.956+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Directory\shell\cmd\command。
2024-05-05 03:37:52.978+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\cmdfile\shell\runas\command。
2024-05-05 03:37:53.324+0800|Activity|Orchestrator        |mfeatp                   |      2536|     16360|Action              |post_scan_actions.cpp(2649)             | On-Execute Scan 发现检测项,检测项名称: ATP/Suspect!e9be2f86e3a3,在源进程 ID: 5060 中 , 源路径: F:\Software\ , 源名称: Win 10 Tweaker.exe , 源哈希: cb6cd09f6a25744a8fa6e4b3e4d260c5 , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP- , 目标用户: DESKTOP- , 已采取操作: 清理 , 规则 ID: 0 , 内容版本:  , 引擎版本:
2024-05-05 03:37:56.071+0800|Activity|Remediationbl       |mfeatp                   |      2536|     17308|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Drive\shell\Powershell\command。
2024-05-05 03:37:56.074+0800|Activity|Remediationbl       |mfeatp                   |      2536|     17308|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Directory\shell\Powershell\command。
2024-05-05 03:37:56.094+0800|Activity|Remediationbl       |mfeatp                   |      2536|     17308|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Microsoft.PowerShellConsole.1\Shell\Open\Command。
2024-05-05 03:37:56.135+0800|Activity|Remediationbl       |mfeatp                   |      2536|     17308|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\SystemFileAssociations\.ps1\Shell\0\Command。
2024-05-05 03:37:56.392+0800|Activity|Orchestrator        |mfeatp                   |      2536|     17308|Action              |post_scan_actions.cpp(2649)             | On-Execute Scan 发现检测项,检测项名称: ATP/Suspect!801262e122db,在源进程 ID: 5060 中 , 源路径: F:\Software\ , 源名称: Win 10 Tweaker.exe , 源哈希:  , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP-, 目标用户: DESKTOP- , 已采取操作: 清理 , 规则 ID: 0 , 内容版本:  , 引擎版本:

后经过多次测试,无论在自适应防护里是否打开增强补救、amsi脚本增强扫描,相关注册表键值都会被清理掉,除非强制措施里不打开清理操作,那么这样自适应防护仅仅会阻止有关某一具体的操作,而不会终止“病毒”进程、回滚相关操作了。
pal家族
发表于 2024-5-6 09:04:23 | 显示全部楼层
细心了啊!
我想了解下楼主用的哪个清理软件呀
微信
发表于 2024-5-6 10:57:55 | 显示全部楼层
卸载咖啡可以解决问题
bbszy
 楼主| 发表于 2024-5-6 11:40:20 | 显示全部楼层
微信 发表于 2024-5-6 10:57
卸载咖啡可以解决问题

主要是想用访问保护,虽然冰盾也有相关功能,但是不能在不注入的情况下防止读取某个进程的内存。
bbszy
 楼主| 发表于 2024-5-6 11:41:07 | 显示全部楼层
pal家族 发表于 2024-5-6 09:04
细心了啊!
我想了解下楼主用的哪个清理软件呀

日常没用清理软件。

这个里面报毒的是俄罗斯的一个软件,win10 tweaker
记录微笑
发表于 2024-5-10 01:45:16 | 显示全部楼层
一般清理的注册表项会在隔离区中体现
bbszy
 楼主| 发表于 2024-5-10 15:38:30 | 显示全部楼层
本帖最后由 bbszy 于 2024-5-10 16:38 编辑
记录微笑 发表于 2024-5-10 01:45
一般清理的注册表项会在隔离区中体现

测试了一下,从隔离区里恢复相关注册表键值隔离项目,文件关联还是损坏状态。
soongn
发表于 2024-5-18 23:07:25 | 显示全部楼层
HiBit Uninstaller就清除的很干净了,没必要用优化软件
Balaor
发表于 2024-6-11 21:09:41 | 显示全部楼层
bbszy 发表于 2024-5-6 11:40
主要是想用访问保护,虽然冰盾也有相关功能,但是不能在不注入的情况下防止读取某个进程的内存。

McAfee的访问保护,一直深得我的最爱!!用得最长久的安全软件就是McAfee了,,
不过现在,火绒也能实现访问保护的功能了。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:21 , Processed in 0.130680 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表